Similar presentations:
Правовое регулирование в области информационной безопасности
1.
Белорусско-Российский университетКафедра «Программное обеспечение информационных технологий»
Методы и средства
защиты информации
Правовое
регулирование в области
информационной
безопасности
КУТУЗОВ Виктор Владимирович
Могилев, 2021
2.
Рекомендуемая литература по темеЗащита информации : учебное
пособие / А.П. Жук, Е.П. Жук, О.М.
Лепешкин, А.И. Тимошкин. — 3-е
изд. — Москва : РИОР : ИНФРА-М,
2021. — 400 с. — (Высшее
образование). — DOI:
https://doi.org/10.12737/1759-3. ISBN 978-5-369-01759-3. - Текст :
электронный. - URL:
https://znanium.com/catalog/product
/1210523
Стр. 63-98 - Глава 2 Правовое
обеспечение защиты информации
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
2
3.
Рекомендуемая литература по темеСычев, Ю. Н. Стандарты
информационной безопасности. Защита
и обработка конфиденциальных
документов / Ю. Н. Сычев. - Москва :
ИНФРА-М, 2021. - 223 с.
(Высшее образование: Специалитет).
ISBN 978-5-16-016533-2.
Текст : электронный. - URL:
https://znanium.com/catalog/product/1178
148
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
3
4.
Рекомендуемая литература по темеМеждународная информационная
безопасность: Теория и практика: В
трех томах. Том 2: Сборник
документов (на русском языке) / Под
общ. ред. А. В. Крутских. — М.:
Издательство «Аспект Пресс»,
2019.— 784 с.
https://mgimo.ru/upload/iblock/559/T
om%202.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
4
5.
Комплексный подход к обеспечению защитыобъектов информационной безопасности
Программно-технические методы защиты информации,
какими бы совершенными они ни были, в полном
объеме не решают задач комплексной защиты объектов
информационной безопасности. Используемые при этом
физические, аппаратные, программные,
криптографические и иные логические и технические
средства и методы защиты выполняются без участия
человека по заранее предусмотренной процедуре.
Для обеспечения комплексного подхода к
обеспечению защиты объектов информационной
безопасности должны быть соответствующие правовые
акты, устанавливающие порядок защиты и
ответственность за его нарушение.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
5
6.
Классификация методов защиты информацииБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
6
7.
Правовые методы защиты информации• Правовое обеспечение защиты информации (ЗИ):
• Нормотворческая деятельность
• Создание законодательства в области информационной
безопасности
• Исполнительная и правоприменительная
деятельность
• Контроль за исполнением законодательства
государственными органами, организациями и гражданами
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
7
8.
Нормотворческая деятельность1. Оценка состояния действующего законодательства и
разработка программы его совершенствования;
2. Создание организационно-правовых механизмов
обеспечения информационной безопасности;
3. Формирование прав и обязанностей всех субъектов
в системе информационной безопасности;
4. Разработка организационно-правового механизма
сбора и анализа статистических данных о
воздействии угроз информационной безопасности и
их последствиях;
5. Разработка нормативных актов, регулирующих
порядок ликвидации последствий воздействий угроз.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
8
9.
Исполнительная и правоприменительная деятельность1. Разработка
процедур
применения
законодательства и нормативных актов к
субъектам,
совершившим
преступления
и
проступки при работе с закрытой информацией;
2. Разработка составов правонарушений с учетом
специфики
уголовной,
гражданской,
административной
и
дисциплинарной
ответственности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
9
10.
Фундаментальные положения правовогообеспечения информационной безопасности
• Деятельность
по
правовому
обеспечению
информационной безопасности строится на трех
фундаментальных положениях:
1. Соблюдение законности (предполагает наличие законов
и иных нормативных документов, их применение и
исполнение
субъектами
права
в
области
информационной безопасности);
2. Обеспечение баланса интересов отдельных субъектов и
государства
(предусматривает
приоритет
государственных интересов как общих интересов всех
субъектов. Ориентация на свободы, права и интересы
граждан не принижает роль государства в обеспечении
национальной безопасности в целом и в области
информационной безопасности в частности);
3. Неотвратимость наказания (выполняет роль важнейшего
профилактического инструмента в решении вопросов
правового обеспечения).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
10
11.
Законодательство в областиинформационной безопасности
В каждой стране действует
законодательство в области
информационной безопасности
в рамках которого обязаны
работать компании.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
11
12.
2.1. Законодательная база Республики Беларусь12
13.
Основные правовые акты, регламентирующиезащиту информации в Республике Беларусь
• Конституция Республики Беларусь
• Концепция национальной безопасности Республики Беларусь, утв.
Указом Президента РБ от 9 ноября 2010 г. №575
• Закон РБ от 10 ноября 2008 г. N 455-З «Об информации,
информатизации и защите информации»
• Закон РБ от 19 июля 2010 г. N 170-З «О государственных секретах»
• ТР 2013/027/BY «Информационные технологии. Средства защиты
информации. Информационная безопасность»
• Закон РБ от 7 мая 2021 г. № 99-З «О защите персональных данных»
• Рекомендации Коллегии Евразийской экономической комиссии от 12
марта 2019 г. №9 «ПЕРЕЧЕНЬ стандартов и рекомендаций в области
информационной безопасности, применяемых в рамках реализации
цифровой повестки Евразийского экономического союза»
• и многие другие документы.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
13
14.
Конституция Республики Беларусь• Статья 34. Гражданам Республики Беларусь гарантируется
право на получение, хранение и распространение
полной, достоверной и своевременной информации о
деятельности государственных органов, общественных
объединений, о политической, экономической, культурной
и международной жизни, состоянии окружающей среды.
• Государственные органы, общественные объединения,
должностные лица обязаны предоставить гражданину
Республики Беларусь возможность ознакомиться с
материалами, затрагивающими его права и законные
интересы.
• Пользование информацией может быть ограничено
законодательством в целях защиты чести, достоинства,
личной и семейной жизни граждан и полного
осуществления ими своих прав.
Конституция Республики Беларусь 1994 года (с изменениями и дополнениями, принятыми на республиканских
референдумах 24 ноября 1996 г. и 17 октября 2004 г.)
https://pravo.by/pravovaya-informatsiya/normativnye-dokumenty/konstitutsiya-respubliki-belarus/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
14
15.
КОНЦЕПЦИЯ национальной безопасностиРеспублики Беларусь
• Настоящая Концепция закрепляет совокупность
официальных взглядов на сущность и содержание
деятельности Республики Беларусь по обеспечению
баланса интересов личности, общества, государства и
их защите от внутренних и внешних угроз.
• В концепции большое внимание уделяется
информационной безопасности, внутренним и
внешним информационным угрозам, вопросам
информационной политике.
Указ Президента Республики Беларусь от 9 ноября 2010 г. № 575
КОНЦЕПЦИЯ национальной безопасности Республики Беларусь
https://pravo.by/document/?guid=3871&p0=P31000575
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
15
16.
Закон «Об информации, информатизации изащите информации»
• Сфера действия настоящего Закона
• Настоящим Законом регулируются общественные отношения, возникающие
при:
• поиске, получении, передаче, сборе, обработке, накоплении, хранении,
распространении и (или) предоставлении информации, а также
пользовании информацией;
• создании
и
использовании
информационных
технологий,
информационных систем и информационных сетей, формировании
информационных ресурсов;
• организации и обеспечении защиты информации.
• Законодательством Республики Беларусь могут быть установлены особенности правового
регулирования информационных отношений, связанных со сведениями, составляющими
государственные секреты, с персональными данными, рекламой, защитой детей от
информации, причиняющей вред их здоровью и развитию, научно-технической,
статистической, правовой, экологической и иной информацией.
• Действие настоящего Закона не распространяется на общественные
отношения, связанные с деятельностью средств массовой информации и
охраной
информации,
являющейся
объектом
интеллектуальной
собственности.
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З
Об информации, информатизации и защите информации
https://pravo.by/document/?guid=3871&p0=h10800455
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
16
17.
Закон «Об информации, информатизации изащите информации»
• В законе приводятся:
• полномочия различных государственных органов в области
информации, информатизации и защиты информации;
• виды информации и возможности её распространения;
• виды информационных ресурсов и систем и их
Государственная регистрация;
• требования по защите информации;
• права и обязанности субъектов информационных
отношений;
• ответственность за нарушение требований законодательства
об информации, информатизации и защите информации;
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З
Об информации, информатизации и защите информации
https://pravo.by/document/?guid=3871&p0=h10800455
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
17
18.
Закон «О государственных секретах»Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
18
19.
Закон «О государственных секретах»• Настоящий Закон определяет правовые и организационные
основы отнесения сведений к государственным секретам,
защиты государственных секретов, осуществления иной
деятельности в сфере государственных секретов в целях
обеспечения национальной безопасности Республики Беларусь.
• Государственное регулирование и управление
государственных секретов осуществляются
в
сфере
• Президентом Республики Беларусь,
• Советом Министров Республики Беларусь,
• а также Межведомственной комиссией по защите государственных
секретов при Совете Безопасности Республики Беларусь,
• уполномоченным государственным органом по защите государственных
секретов,
• органами государственной безопасности,
• Оперативно-аналитическим центром при Президенте Республики
Беларусь.
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
19
20.
Закон «О государственных секретах»• Государственные
секреты
(сведения,
составляющие
государственные секреты) - сведения, отнесенные в
установленном порядке к государственным секретам,
защищаемые государством в соответствии с настоящим
Законом и другими актами законодательства;
• Категории государственных секретов
• Государственные секреты подразделяются на две категории:
государственную
тайну
(сведения,
составляющие
государственную тайну) и служебную тайну (сведения,
составляющие служебную тайну).
• Государственная тайна - сведения, в результате разглашения или
утраты которых могут наступить тяжкие последствия для национальной
безопасности Республики Беларусь.
• Служебная тайна - сведения, в результате разглашения или утраты
которых может быть причинен существенный вред национальной
безопасности Республики Беларусь.
• Служебная тайна может являться составной частью государственной
тайны, не раскрывая ее в целом.
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
20
21.
Закон «О государственных секретах»• Гриф секретности - реквизит, проставляемый на носителе
государственных секретов и (или) сопроводительной
документации к нему, свидетельствующий о степени
секретности
содержащихся
на
этом
носителе
государственных секретов;
• Грифы секретности
• На носителях государственных секретов и (или)
сопроводительной документации к ним в зависимости от
степени
секретности
государственных
секретов
проставляются следующие грифы секретности:
• на носителях государственной тайны и (или)
сопроводительной документации к ним - "Особой
важности", "Совершенно секретно";
• на
носителях
служебной
тайны
и
(или)
сопроводительной документации к ним - "Секретно".
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
21
22.
Закон «О государственных секретах»• Степень
секретности
показатель
важности
государственных секретов, определяющий меры и средства
защиты государственных секретов;
• Степени секретности
• Для государственных секретов в зависимости от тяжести
последствий, которые наступили или могут наступить,
размера вреда, который причинен или может быть
причинен в результате их разглашения или утраты,
устанавливаются следующие степени секретности:
• для государственной тайны - "Особой важности",
"Совершенно секретно";
• для служебной тайны - "Секретно".
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
22
23.
Закон «О государственных секретах»• Допуск к государственным секретам - право
гражданина Республики Беларусь, иностранного
гражданина, лица без гражданства (далее, если не
указано иное, - гражданин) или государственного
органа, иной организации на осуществление
деятельности с использованием государственных
секретов;
• Доступ к государственным секретам - ознакомление
гражданина с государственными секретами или
осуществление
им
иной
деятельности
с
использованием государственных секретов;
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
23
24.
Закон «О государственных секретах»• Допуск к государственным секретам регулируется
• Статьей 34. Допуск к государственным секретам граждан и
• Статьей 35. Допуск к государственным секретам граждан
Республики Беларусь в связи с их избранием (назначением) на
должность
• Формы допуска к государственным секретам
• В зависимости от степени секретности устанавливаются три
формы допуска к государственным секретам:
• форма N 1 - форма допуска к государственной тайне, имеющей
степень секретности "Особой важности";
• форма N 2 - форма допуска к государственной тайне, имеющей
степень секретности "Совершенно секретно";
• форма N 3 - форма допуска к служебной тайне, имеющей степень
секретности "Секретно".
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
24
25.
Закон «О государственных секретах»• Техническая защита государственных секретов деятельность, направленная на обеспечение защиты
государственных секретов техническими мерами, за
исключением
технических
мер
защиты
государственных секретов, применяемых в системах
шифрованной, других видов специальной связи и при
использовании криптографических средств защиты
государственных секретов.
• Средства защиты государственных секретов технические, программные, криптографические и
другие
средства,
используемые
для
защиты
государственных секретов, а также средства контроля
эффективности защиты государственных секретов;
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов Республики Беларусь от 25.11.2013 N 72-З,
от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020 N 65-З) http://kgb.by/ru/zakon170-3/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
25
26.
Секреты и информация для служебного пользования• Указ Президента Республики Беларусь от 25 февраля 2011 г. №
68 «О некоторых вопросах в сфере государственных секретов»
http://kgb.by/ru/ukaz68
• Постановление Совета Министров Республики Беларусь от 25
января 2019 г. № 53 «О допуске граждан к государственным
секретам» http://kgb.by/ru/post400
• Постановление Комитета государственной безопасности
Республики Беларусь от 17 декабря 2018 г. № 17 «Об
утверждении Инструкции о порядке выдачи разрешений на
осуществление
деятельности
с
использованием
государственных секретов» http://kgb.by/ru/instrukc-gs
• Постановление Совета Министров РБ от 12 августа 2014 г. № 783
«О служебной информации ограниченного распространения и
информации,
составляющей
коммерческую
тайну»
https://pravo.by/document/?guid=3871&p0=C21400783&p1=1
• Нормативные правовые акты регламентирующие деятельность
КГБ РБ http://kgb.by/ru/normat-prav-akty-ru/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
26
27.
Оперативно-аналитический центр приПрезиденте Республики Беларусь
• Оперативно-аналитический центр при Президенте
Республики Беларусь (ОАЦ) является государственным
органом, осуществляющим регулирование деятельности
по обеспечению защиты информации, содержащей
сведения, составляющие государственные секреты
Республики Беларусь или иные сведения, охраняемые в
соответствии с законодательством, от утечки по
техническим
каналам,
несанкционированных
и
непреднамеренных воздействий.
• https://oac.gov.by/ - Официальный сайт ОАЦ
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
27
28.
Оперативно-аналитический центр приПрезиденте Республики Беларусь
• Право
• Законы Республики Беларусь
https://oac.gov.by/law/laws-of-the-republic-of-belarus
• Указы Президента Республики Беларусь
https://oac.gov.by/law/decrees-of-the-president-of-the-republic-of-belarus
• Постановления Совета Министров Республики
Беларусь
https://oac.gov.by/law/resolutions-of-the-council-of-ministers-of-the-republic-of-belarus
• Постановления Оперативно-аналитического центра
при Президенте Республики Беларусь
https://oac.gov.by/law/resolutions-of-the-oac
• Приказы Оперативно-аналитического центра при
Президенте Республики Беларусь
https://oac.gov.by/law/orders-of-the-oac
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
28
29.
ТР 2013/027/BY «Информационные технологии. Средствазащиты информации. Информационная безопасность»
• Технический
регламент
Республики
Беларусь
”Информационные
технологии.
Средства
защиты
информации.
Информационная
безопасность“
(ТР
2013/027/BY) распространяется на выпускаемые в
обращение на территории Республики Беларусь средства
защиты
информации
независимо
от
страны
происхождения, за исключением средств шифрованной,
других видов специальной связи и криптографических
средств защиты государственных секретов.
• 2. Настоящим техническим регламентом устанавливаются
требования к средствам защиты информации в целях
защиты жизни и здоровья человека, имущества, а также
предупреждения действий, вводящих в заблуждение
потребителей (пользователей) относительно назначения,
информационной безопасности и качества средств защиты
информации
ТР 2013/027/BY «Информационные технологии. Средства защиты информации. Информационная безопасность»
http://www.government.by/upload/docs/file0bcd50754d1e60d7.PDF
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
29
30.
Закон РБ от 7 мая 2021 г. № 99-З«О защите персональных данных»
• Настоящий Закон направлен на обеспечение защиты
персональных данных, прав и свобод физических лиц
при обработке их персональных данных.
• Подробно будет рассмотрен в следующих лекциях.
Закон РБ от 7 мая 2021 г. № 99-З «О защите персональных данных»
https://pravo.by/upload/docs/op/H12100099_1620939600.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
30
31.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.1-2014
Информационные технологии и безопасность. Критерии оценки безопасности
информационных технологий. Часть 1. Введение и общая модель
СТБ 34.101.2-2014 Информационные технологии и безопасность. Критерии оценки безопасности
информационных технологий. Часть 2. Функциональные требования
безопасности
СТБ 34.101.3-2014 Информационные технологии и безопасность. Критерии оценки безопасности
информационных технологий. Часть 3. Гарантийные требования безопасности
СТБ 34.101.8-2006 Информационные технологии. Методы и средства безопасности. Программные
и программно-аппаратные средства защиты от воздействия вредоносных
программ и антивирусные программные средства. Общие требования
СТБ 34.101.9-2004 Информационные технологии. Требования к защите информации от
несанкционированного доступа, устанавливаемые в техническом задании на
создание автоматизированной системы
СТБ 34.101.10-2004 Информационные технологии. Средства защиты информации от
несанкционированного доступа в автоматизированных системах. Общие
требования
СТБ 34.101.11-2009 Информационные технологии и безопасность. Критерии оценки безопасности
информационных технологий. Профиль защиты операционной системы сервера
для использования в доверенной зоне корпоративной сети
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
31
32.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.12-2007 Информационные технологии. Методы и средства безопасности. Программные
средства защиты от воздействия вредоносных программ и антивирусные
программные средства. Оценка качества
СТБ 34.101.13-2009 Информационные технологии и безопасность. Критерии оценки безопасности
информационных технологий. Профиль защиты операционной системы сервера
для использования в демилитаризованной зоне корпоративной сети
СТБ 34.101.14-2017 Информационные технологии. Методы и средства безопасности. Программные
средства маршрутизатора. Общие требования
СТБ 34.101.15-2007 Информационные технологии. Методы и средства безопасности. Программные
средства защиты от воздействия вредоносных программ и антивирусные
программные средства. Типовая программа и методика испытаний
СТБ 34.101.16-2009 Информационные технологии и безопасность. Критерии оценки безопасности
информационных технологий. Профиль защиты программных средств
коммутатора для использования в доверенной зоне корпоративной сети
СТБ 34.101.17-2012 Информационные технологии и безопасность. Синтаксис запроса на получение
сертификата
СТБ 34.101.18-2009 Информационные технологии. Синтаксис обмена персональной информацией
СТБ 34.101.19-2012 Информационные технологии и безопасность. Форматы сертификатов и списков
отозванных сертификатов инфраструктуры открытых ключей
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
32
33.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.20-2009 Информационные технологии. Синтаксис криптографической информации для
токенов
СТБ 34.101.21-2009 Информационные технологии. Интерфейс обмена информацией с аппаратнопрограммным носителем криптографической информации (токеном)
СТБ 34.101.22-2009 Информационные технологии. Криптография на основе алгоритма RSA
СТБ 34.101.23-2012 Информационные технологии и безопасность. Синтаксис криптографических
сообщений
СТБ 34.101.26-2012 Информационные технологии и безопасность. Онлайновый протокол проверки
статуса сертификата (OCSP)
СТБ 34.101.27-2011 Информационные технологии и безопасность. Требования безопасности к
программным средствам криптографической защиты информации
СТБ 34.101.30-2017 Информационные технологии. Методы и средства безопасности.
Информационные системы. Классификация
СТБ 34.101.31-2011 Информационные технологии. Защита информации. Криптографические
алгоритмы шифрования и контроля целостности
СТБ 34.101.31-2020 Информационные технологии и безопасность. Алгоритмы шифрования и
контроля целостности
СТБ 34.101.35-2011 Информационные технологии. Методы и средства безопасности. Объекты
информатизации. Профиль защиты класса Б3
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
33
34.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.36-2011 Информационные технологии. Методы и средства безопасности. Объекты
информатизации. Профиль защиты класса А2
СТБ 34.101.37-2017 Информационные технологии и безопасность. Методы и средства безопасности.
Системы управления сайта. Общие требования
СТБ 34.101.41-2013 Информационные технологии и безопасность. Обеспечение информационной
безопасности банков Республики Беларусь. Общие положения
СТБ 34.101.42-2013 Информационные технологии и безопасность. Обеспечение информационной
безопасности банков Республики Беларусь. Аудит информационной
безопасности
СТБ 34.101.45-2013 Информационные технологии и безопасность. Алгоритмы электронной
цифровой подписи и транспорта ключа на основе эллиптических кривых
СТБ 34.101.47-2017 Информационные технологии и безопасность. Криптографические алгоритмы
генерации псевдослучайных чисел
СТБ 34.101.48-2012 Информационные технологии и безопасность. Требования к политике
применения сертификатов удостоверяющих центров
СТБ 34.101.49-2012 Информационные технологии и безопасность. Формат карточки открытого ключа
СТБ 34.101.50-2019 Информационные технологии и безопасность. Правила регистрации объектов
информационных технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
34
35.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.52-2016 Информационные технологии. Методы и средства безопасности. Критически
важные объекты информатизации. Классификация
СТБ 34.101.53-2016 Информационные технологии. Методы и средства безопасности. Профиль
защиты критически важных объектов информатизации класса А1-у
СТБ 34.101.54-2016 Информационные технологии. Методы и средства безопасности. Профиль
защиты критически важных объектов информатизации класса А2-у
СТБ 34.101.55-2016 Информационные технологии. Методы и средства безопасности. Профиль
защиты критически важных объектов информатизации класса Б1-у
СТБ 34.101.56-2016 Информационные технологии. Методы и средства безопасности. Профиль
защиты критически важных объектов информатизации класса Б2-у
СТБ 34.101.57-2016 Информационные технологии. Методы и средства безопасности. Профиль
защиты критически важных объектов информатизации класса В1-у
СТБ 34.101.58-2016 Информационные технологии. Методы и средства безопасности. Профиль
защиты критически важных объектов информатизации класса В2-у
СТБ 34.101.59-2016 Информационные технологии и безопасность. Задание по безопасности.
Методические указания по разработке
СТБ 34.101.60-2014 Информационные технологии и безопасность. Алгоритмы разделения секрета
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
35
36.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.61-2013 Информационные технологии и безопасность. Обеспечение информационной
безопасности банков Республики Беларусь. Методика оценки рисков нарушения
информационной безопасности
СТБ 34.101.62-2013 Информационные технологии и безопасность. Обеспечение информационной
безопасности банков Республики Беларусь. Методические рекомендации по
документации в области обеспечения информационной безопасности в
соответствии с требованиями СТБ 34.101.41
СТБ 34.101.65-2014 Информационные технологии и безопасность. Протокол защиты транспортного
уровня (TLS)
СТБ 34.101.66-2014 Информационные технологии и безопасность. Протоколы формирования
общего ключа на основе эллиптических кривых
СТБ 34.101.67-2014 Информационные технологии и безопасность. Инфраструктура атрибутных
сертификатов
СТБ 34.101.68-2013 Информационные технологии и безопасность. Обеспечение информационной
безопасности банков Республики Беларусь. Методика оценки соответствия
информационной безопасности банков Республики Беларусь требованиям СТБ
34.101.41
СТБ 34.101.69-2014 Информационные технологии и безопасность. Криптология. Термины и
определения
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
36
37.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.70-2016 Информационные технологии. Методы и средства безопасности. Методика
оценки рисков информационной безопасности в информационных системах
СТБ 34.101.72-2018 Информационные технологии. Методы и средства безопасности. Технические
средства обработки информации. Классификация угроз безопасности, связанных
с наличием закладных устройств и недекларированных функций
СТБ 34.101.73-2017 Информационные технологии. Методы и средства безопасности. Межсетевые
экраны. Общие требования
СТБ 34.101.74-2017 Информационные технологии. Системы сбора и обработки данных событий
информационной безопасности. Общие требования
СТБ 34.101.75-2017 Информационные технологии. Системы обнаружения и предотвращения
вторжений. Общие требования
СТБ 34.101.76-2017 Информационные технологии. Методы и средства безопасности. Системы
обнаружения и предотвращения утечек информации из информационных
систем. Общие требования
СТБ 34.101.77-2016 Информационные технологии и безопасность. Алгоритмы хэширования
СТБ 34.101.77-2020 Информационные технологии и безопасность. Криптографические алгоритмы на
основе sponge-функции
СТБ 34.101.78-2019 Информационные технологии и безопасность. Профиль инфраструктуры
открытых ключей
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
37
38.
Стандарты Республики Беларусь«Информационные технологии и безопасность»
Обозначение
Наименование
СТБ 34.101.79-2019 Информационные технологии и безопасность. Криптографические токены
СТБ 34.101.80-2019 Информационные технологии и безопасность. Расширенные электронные
цифровые подписи
СТБ 34.101.81-2019 Информационные технологии и безопасность. Протоколы службы заверения
данных
СТБ 34.101.82-2019 Информационные технологии и безопасность. Протокол постановки штампа
времени
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
38
39.
Кодекс Республики БеларусьОб административных правонарушениях
• Статья 10.5. Отказ в предоставлении гражданину информации
• ГЛАВА 23. Административные правонарушения в области
связи и информации
• Статья 23.4. Несанкционированный доступ к компьютерной
информации
• Статья 23.5. Нарушение законодательства о средствах массовой
информации
• Статья 23.6. Разглашение коммерческой или иной охраняемой
законом тайны
• Статья 23.7. Нарушение законодательства о защите персональных
данных
• Статья 23.8. Разглашение служебной тайны по неосторожности
• Статья 23.9. Нарушение требований по использованию
национального сегмента сети Интернет
• Статья 23.10. Нарушение правил оборота специальных
технических средств, предназначенных для негласного получения
информации
Кодекс Республики Беларусь Об административных правонарушениях
https://pravo.by/upload/docs/op/HK2100091_1611262800.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
39
40.
Гражданский Кодекс Республики Беларусь• Статья 140. Нераскрытая информация
• 1. Информация (сведения о лицах, предметах, фактах, событиях, явлениях и процессах)
охраняется в качестве нераскрытой информации, если она составляет служебную тайну или
коммерческую тайну.
• 2. В отношении информации может быть установлен режим коммерческой тайны при условии,
что составляющие ее сведения не являются общеизвестными или легкодоступными третьим
лицам в тех кругах, которые обычно имеют дело с подобного рода сведениями, имеют
коммерческую ценность для их обладателя в силу неизвестности третьим лицам, не являются
объектами исключительных прав на результаты интеллектуальной деятельности и не отнесены в
установленном порядке к государственным секретам. Режим коммерческой тайны считается
установленным после определения состава сведений, подлежащих охране в режиме
коммерческой тайны, и принятия лицом, правомерно обладающим такими сведениями,
совокупности мер, необходимых для обеспечения их конфиденциальности.
• Сведения, в отношении которых не может быть установлен режим коммерческой тайны,
определяются законодательными актами.
• 3. Условия и порядок отнесения информации к служебной тайне определяются
законодательством.
• 4. Информация, составляющая служебную тайну или коммерческую тайну, защищается
способами, предусмотренными законодательством.
• В случае незаконного ознакомления или незаконного использования, а также разглашения
информации, которая составляет служебную тайну или коммерческую тайну, физические и
юридические лица, государственные органы и их должностные лица обязаны возместить ее
обладателю причиненные убытки. Такая же обязанность возлагается на работников, разгласивших
служебную тайну или коммерческую тайну вопреки обязательству о неразглашении
коммерческой тайны, трудовому договору (контракту), и на контрагентов, сделавших это вопреки
гражданско-правовому договору.
Гражданский Кодекс Республики Беларусь
https://pravo.by/document/?guid=3871&p0=hk9800218
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
40
41.
Уголовный Кодекс Республики Беларусь• РАЗДЕЛ XII Преступления против компьютерной
безопасности
• Статья 349. Несанкционированный доступ к компьютерной
информации
• Статья 350. Уничтожение, блокирование или модификация
компьютерной информации
• Статья 352. Неправомерное завладение компьютерной
информацией
• Статья 354. Разработка, использование, распространение
либо сбыт вредоносных компьютерных программ или
специальных программных или аппаратных средств
• Статья 355. Нарушение правил эксплуатации компьютерной
системы или сети
Уголовный Кодекс Республики Беларусь
https://pravo.by/document/?guid=3871&p0=Hk9900275
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
41
42.
Рекомендации КоллегииЕвразийской экономической комиссии
от 12 марта 2019 г. № 9
2.2 ПЕРЕЧЕНЬ
стандартов и рекомендаций в области
информационной безопасности, применяемых
в рамках реализации цифровой повестки
Евразийского экономического союза
https://pravo.by/document/?guid=3871&p0=F01900068
42
43.
ПЕРЕЧЕНЬ стандартов и рекомендаций в области информационнойбезопасности, применяемых в рамках реализации цифровой
повестки Евразийского экономического союза
• I. Разработка средств защиты информации и
разработка приложений
• II. Создание и сопровождение систем управления
информационной безопасностью
• III. Обеспечение сетевой безопасности и обеспечение
защиты веб-сервисов
• IV. Обеспечение защиты информации с
использованием средств криптографической защиты
• V. Обеспечение возможности использования
электронной цифровой подписи (электронной
подписи) и обеспечение функционирования сервисов
доверенной третьей стороны
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
43
44.
ПЕРЕЧЕНЬ стандартов и рекомендаций в области информационнойбезопасности, применяемых в рамках реализации цифровой
повестки Евразийского экономического союза
• VI. Обеспечение доверия к цифровым сервисам
• VII. Обеспечение функций по идентификации
субъектов электронного взаимодействия, в том числе
сервисов информационно-коммуникационных
технологий, и проверке правомочий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
44
45.
I. Разработка средств защиты информации иразработка приложений
• 1. ISO/IEC/IEEE 12207:2017 «Системная и программная инженерия. Процессы жизненного цикла
программных средств» (Systems and software engineering – Software life cycle processes).
• 2. ГОСТ ИСО/МЭК 12207-2002 «Информационная технология. Процессы жизненного цикла
программных средств».
• 3. СТ РК ISO/IEC 12207-2015 «Системная и программная инженерия. Процессы жизненного цикла
программных средств».
• 4. ISO/IEC 27031:2011 «Информационная технология. Методы и средства обеспечения безопасности.
Руководство по готовности информационно-коммуникационных технологий к обеспечению
непрерывности бизнеса» (Information technology – Security techniques – Guidelines for information and
communications technology readiness for business continuity).
• 5. СТ РК ISO/IEC 27031-2013 «Информационные технологии. Методы обеспечения безопасности.
Руководство по готовности информационно-коммуникационных технологий для обеспечения
непрерывности бизнеса».
• 6. ISO/IEC 15408-1:2009 «Информационная технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности ИТ.Часть 1. Введение и общая модель» (Information technology – Security
techniques – Evaluation criteria for IT security – Part 1: Introduction and general model).
• 7. СТ РК ISO/IEC 15408-1-2017 «Информационные технологии. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая
модель».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
45
46.
I. Разработка средств защиты информации иразработка приложений
• 8. СТБ 34.101.1-2014 (15408-1:2009) «Информационные технологии и безопасность. Критерии оценки
безопасности информационных технологий. Часть 1. Введение и общая модель».
• 9. ISO/IEC 15408-2:2008 «Информационная технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности ИТ.Часть 2. Функциональные требования безопасности» (Information
technology – Security techniques – Evaluation criteria for IT security – Part 2: Security functional
components).
• 10. СТ РК ISO/IEC 15408-2-2017 «Информационные технологии. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные
требования безопасности».
• 11. СТБ 34.101.2-2014 (15408-2:2009) «Информационные технологии и безопасность. Критерии оценки
безопасности информационных технологий. Часть 2. Функциональные требования безопасности».
• 12. ISO/IEC 15408-3:2008 «Информационная технология. Методы и средства обеспечения безопасности.
Критерии оценки безопасности ИТ.Часть 3. Требования к обеспечению защиты» (Information technology
– Security techniques – Evaluation criteria for IT security – Part 3: Security assurance components).
• 13. СТ РК ISO/IEC 15408-3-2017 «Информационные технологии. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования
обеспечению защиты».
• 14. СТБ 34.101.3-2014 (15408-3:2009) «Информационные технологии и безопасность. Критерии оценки
безопасности информационных технологий. Часть 3. Гарантийные требования безопасности».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
46
47.
II. Создание и сопровождение системуправления информационной безопасностью
• 15. СТБ ISO/IEC 27000-2012 «Информационные технологии. Методы обеспечения безопасности.
Системы менеджмента информационной безопасности. Основные положения и словарь».
• 16. ISO/IEC 27001:2013 «Информационная технология. Методы обеспечения безопасности. Системы
менеджмента информационной безопасности. Требования» (Information technology – Security
techniques – Information security management systems – Requirements).
• 17. СТ РК ISO/IEC 27001-2015 «Информационная технология. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасностью. Требования».
• 18. СТБ ISO/IEC 27001-2016 «Информационные технологии. Методы обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования».
• 19. ISO/IEC 27002:2013 «Информационные технологии. Методы обеспечения безопасности. Свод
правил по управлению защитой информации» (Information technology – Security techniques – Code of
practice for information security controls).
• 20. СТ РК ISO/IEC 27002-2015 «Информационная технология. Методы и средства обеспечения
безопасности. Свод правил по средствам управления защитой информации».
• 21. СТБ ISO/IEC 27002-2012 «Информационные технологии. Методы обеспечения безопасности. Кодекс
практики для менеджмента информационной безопасности».
• 22. ISO/IEC 27003:2017 «Информационная технология. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Руководство» (Information technology – Security
techniques – Information security management systems – Guidance).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
47
48.
II. Создание и сопровождение системуправления информационной безопасностью
• 23. СТ РК ISO/IEC 27003-2012 «Информационные технологии. Методы обеспечения безопасности.
Руководство по внедрению системы менеджмента информационной безопасности».
• 24. СТБ ISO/IEC 27003-2014 «Информационные технологии. Методы обеспечения безопасности.
Руководство по внедрению системы менеджмента информационной безопасности».
• 25. ISO/IEC 27004:2016 «Информационная технология. Методы и средства обеспечения безопасности.
Менеджмент информационной безопасности. Мониторинг, измерения, анализ и оценка» (Information
technology – Security techniques – Information security management – Monitoring, measurement, analysis).
• 26. СТ РК ISO/IEC 27004-2012 «Информационные технологии. Методы обеспечения безопасности.
Менеджмент информационной безопасности. Измерение».
• 27. СТБ ISO/IEC 27004-2014 «Информационные технологии. Методы обеспечения безопасности.
Менеджмент информационной безопасности. Измерения».
• 28. ISO/IEC 27005:2018 «Информационная технология. Методы и средства обеспечения безопасности.
Менеджмент риска информационной безопасности» (Information technology – Security techniques –
Information security risk management).
• 29. СТ РК ISO/IEC 27005-2013 «Информационные технологии. Методы обеспечения безопасности.
Менеджмент риска информационной безопасности».
• 30. СТБ ISO/IEC 27005-2012 «Информационные технологии. Методы обеспечения безопасности.
Менеджмент рисков информационной безопасности».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
48
49.
II. Создание и сопровождение системуправления информационной безопасностью
• 31. СТБ ISO/IEC 27006-2018 «Информационные технологии. Методы обеспечения безопасности.
Требования к органам, проводящим аудит и сертификацию систем менеджмента информационной
безопасности».
• 32. СТБ ISO/IEC 27011-2017 «Информационные технологии. Методы обеспечения безопасности.
Руководство по менеджменту информационной безопасности для организаций
телекоммуникационной отрасли на основе ISO/IEC 27002».
• 33. СТБ ISO/IEC 27035-2017 «Информационные технологии. Методы обеспечения безопасности.
Менеджмент инцидентов в области информационной безопасности».
• 34. СТБ 34.101.70-2016 «Информационные технологии. Методы и средства безопасности. Методика
оценки рисков информационной безопасности в информационных системах».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
49
50.
III. Обеспечение сетевой безопасности иобеспечение защиты веб-сервисов
• 35. ISO/IEC 27033-1:2015 «Информационная технология. Методы и средства обеспечения безопасности.
Сетевая безопасность. Часть 1. Обзор и концепции» (Information technology – Security techniques –
Network security – Part 1: Overview and concepts).
• 36. СТ РК ISO/IEC 27033-1-2017 «Информационные технологии. Методы и средства обеспечения
безопасности. Сетевая безопасность. Часть 1. Обзор и концепции».
• 37. ISO/IEC 27033-2:2012 «Информационная технология. Методы и средства обеспечения безопасности.
Сетевая безопасность. Часть 2. Руководящие принципы по разработке и внедрению средств
обеспечения безопасности сетей» (Information technology – Security techniques – Network security – Part
2: Guidelines for the design and implementation of network security).
• 38. СТ РК ISO/IEC 27033-2-2017 «Информационные технологии. Методы и средства обеспечения
безопасности. Сетевая безопасность. Часть 2. Руководящие указания по проектированию и внедрению
защиты сети».
• 39. ISO/IEC 27033-3:2010 «Информационная технология. Методы и средства обеспечения безопасности.
Сетевая безопасность. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и
вопросы управления» (Information technology – Security techniques – Network security – Part 3: Reference
networking scenarios – Threats, design techniques and control issues).
• 40. ISO/IEC 27033-4:2018 «Информационная технология. Методы и средства обеспечения безопасности.
Сетевая безопасность. Часть 4. Коммуникации для обеспечения безопасности между сетями с
применением шлюзов безопасности» (Information technology – Security techniques – Network security –
Part 4: Securing communications between networks using security gateways).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
50
51.
III. Обеспечение сетевой безопасности иобеспечение защиты веб-сервисов
• 41. СТ РК ISO/IEC 27033-4-2017 «Информационные технологии. Методы и средства обеспечения
безопасности. Сетевая безопасность. Часть 4. Коммуникации для обеспечения безопасности между
сетями с применением шлюзов безопасности».
• 42. ISO/IEC 27033-5:2013 «Информационная технология. Методы и средства обеспечения безопасности.
Сетевая безопасность. Часть 5. Безопасное межсетевое взаимодействие с использованием виртуальных
частных сетей (VPNs)» (Information technology – Security techniques – Network security – Part 5: Securing
communications across networks using Virtual Private Networks (VPNs)).
• 43. СТ РК ISO/IEC 27033-5-2017 «Информационные технологии. Методы обеспечения безопасности.
Сетевая безопасность. Часть 5. Коммуникации для обеспечения безопасности между сетями с
применением виртуальных частных сетей (VPN)».
• 44. ISO/IEC 27033-6:2018 «Информационная технология. Методы и средства обеспечения безопасности.
Сетевая безопасность. Часть 6. Защищенный доступ к беспроводной IP-сети» (Information technology –
Security techniques – Network security – Part 6: Securing wireless IP network access).
• 45. СТ РК ISO IEC 27033-6-2017 «Информационные технологии. Методы и средства обеспечения
безопасности. Сетевая безопасность. Часть 6. Защищенный доступ к беспроводной IP-сети».
• 46. ISO/IEC 27039:2015 «Информационная технология. Методы и средства обеспечения безопасности.
Сетевая безопасность. Выбор, внедрение и сопровождение систем обнаружения и предотвращения
вторжений» (Information technology – Security techniques – Selection, deployment and operations of
intrusion detection and prevention systems (IDPS)).
• 47. Спецификация безопасности веб-сервисов «Безопасность структурированных сообщений» (Web
Services Security: SOAP Message Security 1.1 (WS-Security 2004)).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
51
52.
III. Обеспечение сетевой безопасности иобеспечение защиты веб-сервисов
• 48. Руководящие принципы по обеспечению доступности веб-контента (Web Content Accessibility
Guidelines (WCAG) 2.1).
• 49. СТ РК ИСО/МЭК 18028-4-2007 «Технологии информационные. Методы обеспечения защиты. Защита
сети информационных технологий. Часть 4. Защита удаленного доступа».
• 50. СТБ 34.101.8-2006 «Информационные технологии. Методы и средства безопасности. Программные
и программно-аппаратные средства защиты от воздействия вредоносных программ и антивирусные
программные средства. Общие требования».
• 51. СТБ 34.101.14-2017 «Информационные технологии. Методы и средства безопасности. Программные
средства маршрутизатора. Общие требования».
• 52. СТБ 34.101.37-2017 «Информационные технологии и безопасность. Методы и средства
безопасности. Системы управления сайта. Общие требования».
• 53. СТБ 34.101.73-2017 «Информационные технологии. Методы и средства безопасности. Межсетевые
экраны. Общие требования».
• 54. СТБ 34.101.74-2017 «Информационные технологии. Системы сбора и обработки данных событий
информационной безопасности. Общие требования».
• 55. СТБ 34.101.75-2017 «Информационные технологии. Системы обнаружения и предотвращения
вторжений. Общие требования».
• 56. СТБ 34.101.76-2017 «Информационные технологии. Методы и средства безопасности. Системы
обнаружения и предотвращения утечек информации из информационных систем. Общие требования».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
52
53.
IV. Обеспечение защиты информации сиспользованием средств криптографической защиты
• 57. Спецификация безопасности на транспортном уровне TLS 1.2: RFC 5246 (A Transport Layer Security
(TLS) Protocol Version 1.2).
• 58. Спецификация безопасности на транспортном уровне TLS 1.3: RFC 8446 (The Transport Layer Security
(TLS) Protocol Version 1.3).
• 59. Набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу
IPSec: RFC 2401, RFC 2402, RFC 2403, RFC 2404, RFC 2405, RFC 2406, RFC 2407, RFC 2408, RFC 2409, RFC
2410, RFC 2411, RFC 2412.
• 60. ГОСТ 34.12-2018 «Информационная технология. Криптографическая защита информации. Блочные
шифры».
• 61. ГОСТ 34.13-2018 «Информационная технология. Криптографическая защита информации. Режимы
работы блочных шифров».
• 62. Рекомендации по стандартизации Р 1323565.1.020-2018 «Информационная технология.
Криптографическая защита информации. Использование криптографических алгоритмов в протоколе
безопасности транспортного уровня (TLS 1.2)».
• 63. Рекомендации по стандартизации Р 1323565.1.022-2018 «Информационная технология.
Криптографическая защита информации. Функции выработки производного ключа».
• 64. Рекомендации по стандартизации Р 1323565.1.017-2018 «Информационная технология.
Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению
алгоритмов блочного шифрования».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
53
54.
IV. Обеспечение защиты информации сиспользованием средств криптографической защиты
• 65. Рекомендации по стандартизации Р 1323565.1.005-2017 «Информационная технология.
Криптографическая защита информации. Допустимые объемы материала для обработки на одном
ключе при использовании некоторых вариантов режимов работы блочных шифров в соответствии с
ГОСТ Р 34.13-2015».
• 66. Рекомендации по стандартизации Р 1323565.1.004-2017 «Информационная технология.
Криптографическая защита информации. Схемы выработки общего ключа с аутентификацией на основе
открытого ключа».
• 67. Рекомендации по стандартизации Р 50.1.114-2016 «Информационная технология.
Криптографическая защита информации. Параметры эллиптических кривых для криптографических
алгоритмов и протоколов».
• 68. Рекомендации по стандартизации Р 50.1.113-2016 «Информационная технология.
Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению
алгоритмов электронной цифровой подписи и функции хэширования».
• 69. СТБ 34.101.47-2017 «Информационные технологии и безопасность. Криптографические алгоритмы
генерации псевдослучайных чисел».
• 70. СТБ 34.101.60-2014 «Информационные технологии и безопасность. Алгоритмы разделения
секрета».
• 71. СТБ 34.101.66-2014 «Информационные технологии и безопасность. Протоколы формирования
общего ключа на основе эллиптических кривых».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
54
55.
V. Обеспечение возможности использования электроннойцифровой подписи (электронной подписи) и обеспечение
функционирования сервисов доверенной третьей стороны
• 72. Спецификация управления ключами XML-подписей (XML Key Management Specification (XKMS 2.0)
Version 2.0 W3C Recommendation 28 June 2005).
• 73. ITU-T Х.842 «Информационные технологии. Методы защиты. Руководящие указания по
применению и управлению службами доверенной третьей стороны» (Information technology – Security
techniques – Guidelines for the use and management of trusted third party services).
• 74. ITU-T X.509 «Информационные технологии. Взаимосвязь открытых систем. Справочник: Структуры
сертификатов открытых ключей и атрибутов» (Information technology – Open Systems Interconnection –
The Directory: Public-key and attribute certificate frameworks).
• 75. Синтаксис и обработка электронной подписи в XML (XML Signature Syntax and Processing (Second
Edition) (XML-DSig)).
• 76. Расширение электронной подписи в XML (XML Advanced Electronic Signatures (XAdES)).
• 77. Расширение электронной подписи в PDF (PDF Advanced Electronic Signatures (PadES)).
• 78. CMS расширение электронной подписи (CMS Advanced Electronic Signatures (CadES)).
• 79. RFC 5280 «Профили сертификатов и списков отозванных сертификатов в инфраструктуре открытых
ключей Internet X.509» (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List
(CRL) Profile).
• 80. RFC 6818 «Дополнение к профилям сертификатов и списков отозванных сертификатов в
инфраструктуре открытых ключей Internet X.509» (Updates to the Internet X.509 Public Key Infrastructure
Certificate and Certificate Revocation List (CRL) Profile).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
55
56.
V. Обеспечение возможности использования электроннойцифровой подписи (электронной подписи) и обеспечение
функционирования сервисов доверенной третьей стороны
• 81. RFC 4210 «Протокол управления сертификатами в инфраструктуре открытых ключей Internet X.509»
(Internet X.509 Public Key Infrastructure Certificate Management Protocol (CMP)).
• 82. PKCS#11 «Интерфейс взаимодействия с криптографическими токенами» (PKCS#11 Cryptographic
Token Interface).
• 83. ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации.
Процессы формирования и проверки электронной цифровой подписи».
• 84. СТБ 34.101.45-2013 «Информационные технологии и безопасность. Алгоритмы электронной
цифровой подписи и транспорта ключа на основе эллиптических кривых».
• 85. ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция
хэширования».
• 86. СТБ 34.101.31-2011 «Информационные технологии и безопасность. Криптографические алгоритмы
шифрования и контроля целостности».
• 87. ГОСТ 34.10-2018 «Информационная технология. Криптографическая защита информации. Процессы
формирования и проверки электронной цифровой подписи».
• 88. ГОСТ 34.11-2018 «Информационная технология. Криптографическая защита информации. Функция
хэширования».
• 89. Рекомендации по стандартизации Р 1323565.1.023-2018 «Информационная технология.
Криптографическая защита информации. Использование алгоритмов ГОСТ Р 34.10-2012, ГОСТ Р 34.112012 в сертификате, списке аннулированных сертификатов (CRL) и запросе на сертификат PKCS #10
инфраструктуры открытых ключей X.509».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
56
57.
V. Обеспечение возможности использования электроннойцифровой подписи (электронной подписи) и обеспечение
функционирования сервисов доверенной третьей стороны
• 90. СТБ 34.101.17-2012 «Информационные технологии и безопасность. Синтаксис запроса на получение
сертификата».
• 91. СТБ 34.101.18-2009 «Информационные технологии. Синтаксис обмена персональной
информацией».
• 92. СТБ 34.101.19-2012 «Информационные технологии и безопасность. Форматы сертификатов и
списков отозванных сертификатов инфраструктуры открытых ключей».
• 93. СТБ 34.101.23-2012 «Информационные технологии и безопасность. Синтаксис криптографических
сообщений».
• 94. СТБ 34.101.26-2012 «Информационные технологии и безопасность. Онлайновый протокол проверки
статуса сертификата (OCSP)».
• 95. СТБ 34.101.48-2012 «Информационные технологии и безопасность. Требования к политике
применения сертификатов удостоверяющих центров».
• 96. СТБ 34.101.65-2014 «Информационные технологии и безопасность. Протокол защиты транспортного
уровня (TLS)».
• 97. СТБ 34.101.67-2014 «Информационные технологии и безопасность. Инфраструктура атрибутных
сертификатов».
• 98. СТБ 34.101.77-2016 «Информационные технологии и безопасность. Алгоритмы хэширования».
• 99. СТБ 34.101.78-2018 «Информационные технологии и безопасность. Профиль инфраструктуры
открытых ключей».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
57
58.
V. Обеспечение возможности использования электроннойцифровой подписи (электронной подписи) и обеспечение
функционирования сервисов доверенной третьей стороны
• 100. СТБ 34.101.79-2018 «Информационные технологии и безопасность. Криптографические токены».
• 101. СТБ 34.101.80-2018 «Информационные технологии и безопасность. Расширенные электронные
цифровые подписи».
• 102. СТБ 34.101.81-2018 «Информационные технологии и безопасность. Протоколы службы заверения
данных».
• 103. СТБ 34.101.82-2018 «Информационные технологии и безопасность. Протокол простановки штампа
времени».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
58
59.
VI. Обеспечение доверия к цифровым сервисам• 104. ISO 19011:2018 «Руководство по аудиту систем менеджмента» (Guidelines for auditing management
systems).
• 105. СТБ 34.101.27-2011 «Информационные технологии и безопасность. Требования безопасности к
программным средствам криптографической защиты информации».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
59
60.
VII. Обеспечение функций по идентификации субъектов электронноговзаимодействия, в том числе сервисов информационнокоммуникационных технологий, и проверке правомочий
• 106. ISO/IEC 9594-8:2017 «Информационная технология. Взаимосвязь открытых систем. Справочник.
Часть 8. Структура сертификата на открытый ключ и атрибуты» (Information technology – Open Systems
Interconnection – The Directory – Part 8: Public-key and attribute certificate frameworks).
• 107. RFC 5755 «Профиль атрибутивного сертификата для авторизации» (An Internet Attribute Certificate
Profile for Authorization).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
60
61.
2.3. Законодательная базаРоссийской Федерации
61
62.
Защита информации в Российской Федерации• Законодательная база в сфере защиты информации в
Российской Федерации, защиты государственной
тайны и конфиденциальной информации включает
пакет международных договоров, федеральных
законов, указов Президента РФ, постановлений
Правительства РФ, межведомственных руководящих
документов и стандартов.
• Основополагающими документами по ЗИ в РФ
являются Конституция РФ. Концепция национальной
безопасности
и
Доктрина
информационной
безопасности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
62
63.
Четыре уровня правового обеспечения ЗИ• На сегодняшний день в Российской Федерации можно
выделить четыре уровня правового обеспечения защиты
информации.
• Первый уровень образуют международные договоры, к которым
присоединилась Российская Федерация, и федеральные законы
России.
• Второй уровень правового обеспечения ЗИ составляют
подзаконные акты, к которым относятся указы Президента РФ и
постановления Правительства РФ, а также письма Высшего
Арбитражного Суда РФ и постановления пленумов Верховного
Суда РФ.
• Третий уровень правового обеспечения ЗИ составляют
государственные стандарты (ГОСТы), руководящие документы,
нормы,
методики
и
классификаторы,
разработанные
соответствующими государственными органами.
• Четвертый уровень правового обеспечения ЗИ образуют
локальные
нормативные
акты,
положения
инструкции,
методические рекомендации и другие документы по комплексной
защите информации в информационных системах конкретной
организации. К таким
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
63
64.
Четыре уровня правового обеспечения ЗИПервый уровень
• Первый уровень образуют международные договоры, к которым
присоединилась Российская Федерация, и федеральные законы
России:
• международные (всемирные) конвенции об охране промышленной собственности, охране
интеллектуальной собственности, авторском праве;
• Конституция РФ (ст. 23 определяет право граждан на тайну переписки, телефонных, телеграфных
и иных сообщений, а ст. 29 — право свободно искать, получать, передавать, производить и
распространять информацию любым законным способом);
• Гражданский кодекс РФ (в ст. 139 устанавливается право на возмещение убытков от утечки с
помощью незаконных методов информации, относящейся к служебной и коммерческой тайне,
часть четвертая посвящена авторскому и патентному правам);
• Уголовный кодекс РФ (ст. 272 устанавливает ответственность за неправомерный доступ к
компьютерной информации, ст. 273 — за создание, использование и распространение
вредоносных программ для ЭВМ, ст. 274 — за нарушение правил эксплуатации ЭВМ, систем и
сетей);
• Федеральный закон от 27 декабря 1991 г. № 2124-1 «О средствах массовой информации»;
• Федеральный закон от 21 июля 1993 г. № 5485-1 «О государственной тайне»;
• Федеральный закон от 29 декабря 1994 г. № 77-ФЗ «Об обязательном экземпляре документов»;
• Федеральный закон от 16 февраля 1995 г. № 15-ФЗ «О связи»;
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях
и о защите информации»;
• Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов
деятельности»;
• Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» и др.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
64
65.
Четыре уровня правового обеспечения ЗИВторой уровень
• Второй уровень правового обеспечения ЗИ составляют
подзаконные акты, к которым относятся указы Президента РФ и
постановления Правительства РФ, а также письма Высшего
Арбитражного Суда РФ и постановления пленумов Верховного
Суда РФ. Примерами таких актов могут являться указы
Президента РФ:
• от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального
характера»;
• от 23 апреля 1993 г. № 477 «Концепция правовой информатизации России»;
• от 31 декабря 1993 г. № 2334 «О дополнительных гарантиях прав граждан на
информацию»;
• от 20 января 1994 г. № 170 «Об основах государственной политики в сфере
информатизации»;
• от 30 марта 1994 г. № 614 «Вопросы защиты государственной тайны»;
• от 21 апреля 1994 г. №361 «О совершенствовании деятельности в области информатизации
органов государственной власти Российской Федерации»;
• Среди постановлений Правительства РФ можно выделить следующие:
• от 5 декабря 1991 г. № 35 «О перечне сведений, которые не могут составлять
коммерческую тайну»;
• от 26 июня 1995 г. № 608 «О сертификации средств защиты информации»;
• от 4 сентября 1995 г. № 870 «Об утверждении правил отнесения сведений, составляющих
государственную тайну, к различным степеням секретности»;
• от 11 апреля 2000 г. № 326 «О лицензировании отдельных видов деятельности».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
65
66.
Четыре уровня правового обеспечения ЗИТретий уровень
• Третий уровень правового обеспечения ЗИ составляют государственные
стандарты (ГОСТы), руководящие документы, нормы, методики и
классификаторы, разработанные соответствующими государственными
органами.
• За 15 лет своего существования Гостехкомиссия (ныне ФСТЭК России)
разработала и довела до уровня национальных стандартов десятки
документов, среди которых:
• руководящий документ «Положение по аттестации объектов информатизации по
требованиям безопасности информации» (1994 г.);
• руководящий
документ
«Автоматизированные
системы
(АС).
Защита
от
несанкционированного доступа к информации. Классификация АС и требования к защите
информации» (1997 г.);
• руководящий документ «Средства вычислительной техники. Защита от НСД к информации»
(1992 г.);
• руководящий документ «Концепция зашиты средств вычислительной техники от НСД к
информации» (1992 г.);
• руководящий документ «Защита от НСД к информации. Термины и определения» (1992 г.);
• руководящий документ «Средства вычислительной техники. Межсетевые экраны. Зашита от
НСД к информации. Показатели защищенности от НСД к информации» (1997 г.);
• руководящий документ «Защита от несанкционированного доступа к информации. Часть 1.
Программное обеспечение средств защиты информации. Классификация по уровню
контроля отсутствия недекларированных возможностей» (1999 г.);
• руководящий документ «Специальные требования и рекомендации по технической защите
конфиденциальной информации» (2001 г.).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
66
67.
Четыре уровня правового обеспечения ЗИТретий уровень
• Стандартизация начинается с основополагающего стандарта, устанавливающего
общие положения. На сегодняшний день такого стандарта в области
информационной безопасности нет. Девять ГОСТов: ГОСТ 28147-89, ГОСТ Р 34.10-94,
ГОСТ Р34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93,
ГОСТ Р 50739—95, ГОСТ Р 50922—96 — относятся к различным группам по
классификатору стандартов и, к сожалению, не являются функционально полными ни
по одному из направлений защиты информации.
• Кроме того, есть семейства родственных стандартов, имеющих отношение к области зашиты
информации:
• системы тревожной сигнализации, комплектуемые извещателями различного принципа действия, — 12
ГОСТов;
• информационные технологии (сертификация систем телекоммуникации, программных и аппаратных
средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.) —
около 200 ГОСТов;
• системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ) —
больше 100 ГОСТов.
• Среди стандартов, определяющих в РФ криптографическую защиту информации, можно
выделить следующие:
• ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм
криптографического преобразования»;
• ГОСТ Р 34.10-94 «Информационная технология. Криптографическая зашита информации. Процедуры
выработки и проверки электронной цифровой подписи на базе асимметричного криптографического
алгоритма»;
• ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция
хеширования»;
• ГОСТ Р 50739-95 «Средства вычислительной техники. Зашита от несанкционированного доступа к
информации. Общие технические требования», и другие
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
67
68.
Четыре уровня правового обеспечения ЗИЧетвертый уровень
• Четвертый уровень правового обеспечения ЗИ образуют
локальные нормативные акты, положения инструкции,
методические рекомендации и другие документы по
комплексной защите информации в информационных
системах конкретной организации.
• К таким нормативным документам относятся:
• устав предприятия, закрепляющий условия обеспечения
деятельности и защиты информации;
• приказ об утверждении перечня сведений, составляющих
коммерческую тайну предприятия;
• трудовые и гражданско-правовые договоры (подряда,
поручения, комиссии и т.п.), в которые включены пункты об
обязанности возмещения ущерба за разглашение сведений,
составляющих коммерческую тайну предприятия;
• должностные
обязанности
руководителей,
специалистов,
обслуживающего персонала и др.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
68
69.
Защита информации в Российской ФедерацииПредставленный список документов
отображает наиболее существенные
документы в области ЗИ.
В тоже время количество таких документов
которыми руководствуются организации в
области работы с информацией, ЗИ и
смежных тематиках в разы больше.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
69
70.
Государственные органы РФ, контролирующиедеятельность в области защиты информации
• Государственные органы РФ, контролирующие деятельность в области
защиты информации:
• Комитет Государственной думы по безопасности;
• Совет безопасности России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК
России);
• Федеральная служба безопасности Российской Федерации (ФСБ России);
• Служба внешней разведки Российской Федерации (СВР России);
• Министерство обороны Российской Федерации (Минобороны России);
• Министерство внутренних дел Российской Федерации (МВД России);
• Федеральная служба по надзору в сфере связи, информационных технологий
и массовых коммуникаций (Роскомнадзор).
• Службы, организующие защиту информации на уровне предприятия
Служба экономической безопасности;
Служба безопасности персонала (Режимный отдел);
Отдел кадров;
Служба информационной безопасности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
70
71.
Совет Безопасности Российской Федерацииhttp://www.scrf.gov.ru
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
71
72.
Комитет Государственной Думы Российской Федерациипо безопасности и противодействию коррупции
http://komitet2-16.km.duma.gov.ru/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
72
73.
https://fstec.ru - Федеральная служба по техническому и экспортному контролю (ФСТЭК России) — федеральный органисполнительной власти России, осуществляющий реализацию государственной политики, организацию межведомственной
координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
73
74.
Роскомнадзорhttps://rkn.gov.ru
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
74
75.
Сайты• Федеральная служба безопасности Российской Федерации
(ФСБ России)
http://www.fsb.ru/
• Служба внешней разведки Российской Федерации (СВР
России)
http://www.svr.gov.ru/
• Министерство обороны Российской Федерации
(Минобороны России)
https://www.mil.ru/
• Министерство внутренних дел Российской Федерации
(МВД России)
https://мвд.рф/
• Служба специальной связи и информации Федеральной
Службы Охраны Российской Федерации
http://fso.gov.ru/struct/sssi/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
75
76.
Защита информации в Российской ФедерацииРассмотрим отдельные нормативные и
законодательные акты Российской
Федерации чуть более подробней.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
76
77.
Основные законы об информационнойбезопасности в Российской Федерации
• Федеральный закон от 27 июля 2006 г. № 149-ФЗ
«Об информации, информатизации и защите
информации» – регулирует отношения, возникающие
при осуществлении права на поиск, получение,
передачу,
производство
и
распространение
информации, при применении информационных
технологий, а также при обеспечении защиты
информации,
за
исключением
отношений,
возникающих
при
охране
результатов
интеллектуальной деятельности и приравненных к ним
средств индивидуализации.
http://www.kremlin.ru/acts/bank/24157
https://docs.cntd.ru/document/901990051?marker=8P00LS
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
77
78.
Основные законы об информационнойбезопасности в Российской Федерации
• Федеральный закон от 27 июля 2006 г. № 152-ФЗ
"О персональных данных" – создает правовую основу
обращения с персональными данными физических лиц в
целях реализации конституционных прав человека, в том
числе права на неприкосновенность частной жизни,
личную и семейную тайну.
• Определены
принципы
и
условия
обработки
персональных данных. Устанавливая общий запрет на
обработку персональных данных без согласия субъекта
персональных данных. Важнейшей гарантией прав
субъекта персональных данных является обязанность
операторов и третьих лиц, получивших доступ к
персональным
данным,
обеспечивать
их
конфиденциальность,
а
также
право
субъекта
персональных данных на защиту своих прав и законных
интересов, в том числе на возмещение убытков и (или)
компенсацию морального вреда в судебном порядке.
• http://www.kremlin.ru/acts/bank/24154
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
78
79.
Основные законы об информационнойбезопасности в Российской Федерации
• Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О
коммерческой тайне" – регулирует отношения, связанные
с отнесением информации к коммерческой тайне,
передачей
такой
информации,
охраной
ее
конфиденциальности
и
предупреждением
недобросовестной
конкуренции.
Действие
Закона
распространяется
на
информацию,
составляющую
коммерческую тайну, независимо от вида носителя, на
котором она зафиксирована.
• Под
коммерческой
тайной
понимается
конфиденциальность информации, позволяющая ее
обладателю
при
существующих
или
возможных
обстоятельствах
увеличить
доходы,
избежать
неоправданных расходов, сохранить положение на рынке
товаров, работ, услуг или получить иную коммерческую
выгоду.
http://www.kremlin.ru/acts/bank/21227
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
79
80.
Основные законы об информационнойбезопасности в Российской Федерации
• Федеральный закон от 6 апреля 2011 г. № 63-ФЗ "Об
электронной подписи" – расширяет сферу использования и
допустимые виды ЭП.
• Электронная подпись - информация в электронной форме, которая
присоединена к другой информации в электронной форме (подписываемой
информации) или иным образом связана с такой информацией и которая
используется для определения лица, подписывающего информацию;
• выделяются 2 вида ЭП: простая и усиленная. Последняя может быть
квалифицированной либо неквалифицированной.
• Простая ЭП подтверждает, что данное электронное сообщение отправлено
конкретным лицом. Усиленная неквалифицированная ЭП позволяет не только
однозначно идентифицировать отправителя, но и подтвердить, что с момента
подписания документа его никто не изменял.
• Сообщение с простой или неквалифицированной ЭП может быть приравнено к
бумажному документу, подписанному собственноручно, если стороны заранее
об этом договорились, а также в специально предусмотренных законом случаях.
• Усиленная
квалифицированная
ЭП
дополнительно
подтверждается
сертификатом, выданным аккредитованным удостоверяющим центром.
Сообщение с такой ЭП во всех случаях приравнивается к бумажному документу с
собственноручной подписью.
http://www.kremlin.ru/acts/bank/32938
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
80
81.
Основные законы об информационнойбезопасности в Российской Федерации
• Федеральный закон от 26 июля 2017 г. №187-ФЗ О
безопасности
критической
информационной
инфраструктуры Российской Федерации» (вступил в
силу 01 января 2018 г.) регулирует отношения в области
обеспечения
безопасности
критической
информационной
инфраструктуры
Российской
Федерации в целях ее устойчивого функционирования
при проведении в отношении ее компьютерных атак.
• Критическая информационная инфраструктура —
объекты
критической
информационной
инфраструктуры, а также сети электросвязи,
используемые для организации взаимодействия таких
объектов
http://www.kremlin.ru/acts/bank/42128
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
81
82.
Основные документы об информационнойбезопасности в Российской Федерации
• ГОСТ Р ИСО/МЭК 15408 «Критерии оценки безопасности
информационных
технологий»,
аналог
стандарта
ISO 15408, называемый еще «Общими критериями».
Является на сегодня самым полным стандартом,
определяющим инструменты оценки безопасности
информационных систем и порядок их использования.
• «Общие критерии» предназначены служить основой при
оценке характеристик безопасности продуктов и систем ИТ.
Заложенные в стандарте наборы требований позволяют
сравнивать результаты независимых оценок безопасности.
На основании этих результатов потребитель может
принимать решение о том, достаточно ли безопасны ИТ
продукты или системы для их применения с заданным
уровнем риска.
https://docs.cntd.ru/document/1200101777
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
82
83.
Критерии оценки безопасностиинформационных технологий
• ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология. Методы и средства
обеспечения безопасности. Критерии оценки безопасности информационных
технологий. Часть 1. Введение и общая модель (Information technology. Security techniques.
Evaluation criteria for IT security. Part 1. Introduction and general model)
https://docs.cntd.ru/document/1200101777
• ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства
обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Часть 2. Функциональные компоненты безопасности (Information technology. Security
techniques. Evaluation criteria for IT security. Part 2. Security functional components)
https://docs.cntd.ru/document/1200105710
• ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Методы и средства
обеспечения безопасности. Критерии оценки безопасности информационных технологий.
Часть 3. Компоненты доверия к безопасности (Information technology. Security techniques.
Evaluation criteria for IT security. Part 3. Security assurance requirements)
https://docs.cntd.ru/document/1200105711
• ГОСТ Р ИСО/МЭК 18045-2013. Информационная технология. Методы и средства
обеспечения безопасности. Методология оценки безопасности информационных
технологий (Information technology - Security techniques – Methodology for IT security
evaluation) https://docs.cntd.ru/document/1200105309
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
83
84.
Национальные стандарты РФОбозначение
ГОСТ Р 50739-95
ГОСТ Р 50922-2006
ГОСТ Р 51188-98
ГОСТ Р 51275-2006
ГОСТ Р 51583-2014
ГОСТ Р 52069.0-2013
ГОСТ Р 52447-2005
ГОСТ Р 52448-2005
ГОСТ Р 52633.0-2006
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Наименование
Средства вычислительной техники. Защита от несанкционированного
доступа к информации. Общие технические требования
Защита информации. Основные термины и определения
Защита информации. Испытания программных средств на наличие
компьютерных вирусов. Типовое руководство
Защита информации. Объект информатизации. Факторы, воздействующие
на информацию. Общие положения
Защита информации. Порядок создания автоматизированных систем в
защищенном исполнении. Общие положения
Защита информации. Система стандартов. Основные положения
Защита информации. Техника защиты информации. Номенклатура
показателей качества
Защита информации. Обеспечение безопасности сетей электросвязи. Общие
положения
Защита информации. Техника защиты информации. Требования к средствам
высоконадежной биометрической аутентификации
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
84
85.
Национальные стандарты РФОбозначение
ГОСТ Р 52633.1-2009
ГОСТ Р 52633.2-2010
ГОСТ Р 52633.3-2011
ГОСТ Р 52633.4-2011
ГОСТ Р 52633.5-2011
ГОСТ Р 52633.6-2012
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Наименование
Защита информации. Техника защиты информации. Требования к
формированию
баз
естественных
биометрических
образов,
предназначенных
для
тестирования
средств
высоконадежной
биометрической аутентификации
Защита информации. Техника защиты информации. Требования к
формированию синтетических биометрических образов, предназначенных
для
тестирования
средств
высоконадежной
биометрической
аутентификации
Защита информации. Техника защиты информации. Тестирование стойкости
средств высоконадежной биометрической защиты к атакам подбора
Защита информации. Техника защиты информации. Интерфейсы
взаимодействия с нейросетевыми преобразователями биометрия - код
доступа
Защита информации. Техника защиты информации. Автоматическое
обучение нейросетевых преобразователей биометрия-код доступа
Защита информации. Техника защиты информации. Требования к индикации
близости предъявленных биометрических данных образу "Свой"
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
85
86.
Национальные стандарты РФОбозначение
ГОСТ Р 52863-2007
ГОСТ Р 53109-2008
ГОСТ Р 53110-2008
ГОСТ Р 53111-2008
ГОСТ Р 53112-2008
ГОСТ Р 53113.1-2008
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Наименование
Защита информации. Автоматизированные системы в защищенном
исполнении. Испытания на устойчивость к преднамеренным силовым
электромагнитным воздействиям. Общие требования
Система обеспечения информационной безопасности сети связи общего
пользования. Паспорт организации связи по информационной безопасности
Система обеспечения информационной безопасности сети связи общего
пользования. Общие положения
Устойчивость функционирования сети связи общего пользования.
Требования и методы проверки
Защита информации. Комплексы для измерений параметров побочных
электромагнитных излучений и наводок. Технические требования и методы
испытаний
Информационная технология. Защита информационных технологий и
автоматизированных систем от угроз информационной безопасности,
реализуемых с использованием скрытых каналов. Часть 1. Общие
положения
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
86
87.
Национальные стандарты РФОбозначение
ГОСТ Р 53113.2-2009
Наименование
Информационная технология. Защита информационных технологий и
автоматизированных систем от угроз информационной безопасности,
реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по
организации защиты информации, информационных технологий и
автоматизированных систем от атак с использованием скрытых каналов
ГОСТ Р 53114-2008
Защита информации. Обеспечение информационной безопасности в
организации. Основные термины и определения
ГОСТ Р 53115-2008
Защита информации. Испытание технических средств обработки
информации
на
соответствие
требованиям
защищенности
от
несанкционированного доступа. Методы и средства
ГОСТ Р 53131-2008
Защита информации. Рекомендации по услугам восстановления после
чрезвычайных
ситуаций
функций
и
механизмов
безопасности
информационных и телекоммуникационных технологий. Общие положения
ГОСТ Р 54581-2011 /
Информационная технология. Методы и средства обеспечения
ISO/IEC TR 15443-1:2005 безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
ГОСТ Р 54582-2011 /
Информационная технология. Методы и средства обеспечения
ISO/IEC TR 15443-2:2005 безопасности. Основы доверия к безопасности информационных
технологий. Часть 2. Методы доверия
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
87
88.
Национальные стандарты РФОбозначение
Наименование
ГОСТ Р 54583-2011 /
Информационная технология. Методы и средства обеспечения
ISO/IEC TR 15443-3:2007 безопасности. Основы доверия к безопасности информационных
технологий. Часть 3. Анализ методов доверия
ГОСТ Р 56045-2014
Информационная технология. Методы и средства обеспечения
безопасности. Рекомендации для аудиторов в отношении мер и средств
контроля и управления информационной безопасностью
ГОСТ Р 56093-2014
Защита информации. Автоматизированные системы в защищенном
исполнении.
Средства
обнаружения
преднамеренных
силовых
электромагнитных воздействий. Общие требования
ГОСТ Р 56103-2014
Защита информации. Автоматизированные системы в защищенном
исполнении. Организация и содержание работ по защите от
преднамеренных силовых электромагнитных воздействий. Общие
положения
ГОСТ Р 56115-2014
Защита информации. Автоматизированные системы в защищенном
исполнении.
Средства
защиты
от
преднамеренных
силовых
электромагнитных воздействий. Общие требования
ГОСТ Р ИСО/МЭК
Информационная технология. Методы и средства обеспечения
13335-1-2006
безопасности. Часть 1. Концепция и модели менеджмента безопасности
информационных и телекоммуникационных технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
88
89.
Национальные стандарты РФОбозначение
ГОСТ Р ИСО 7498-1-99
ГОСТ Р ИСО 7498-2-99
ГОСТ Р ИСО/МЭК ТО
13335-5-2006
ГОСТ Р ИСО/МЭК
15408-1-2012
ГОСТ Р ИСО/МЭК
15408-2-2013
ГОСТ Р ИСО/МЭК
15408-3-2013
ГОСТ Р ИСО/МЭК ТО
15446-2008
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Наименование
Информационная технология. Взаимосвязь открытых систем. Базовая
эталонная модель. Часть 1. Базовая модель
Информационная технология. Взаимосвязь открытых систем. Базовая
эталонная модель. Часть 2. Архитектура защиты информации
Информационная технология. Методы и средства обеспечения
безопасности. Часть 5. Руководство по менеджменту безопасности сети
Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий.
Часть 1. Введение и общая модель
Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий.
Часть 2. Функциональные компоненты безопасности
Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий.
Часть 3. Компоненты доверия к безопасности
Информационная технология. Методы и средства обеспечения
безопасности. Руководство по разработке профилей защиты и заданий по
безопасности
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
89
90.
Национальные стандарты РФОбозначение
ГОСТ Р ИСО/МЭК ТО
18044-2007
ГОСТ Р ИСО/МЭК
18045-2013
ГОСТ Р ИСО/МЭК ТО
19791-2008
ГОСТ Р ИСО/МЭК
21827-2010
ГОСТ Р ИСО/МЭК
27000-2012
ГОСТ Р ИСО/МЭК
27001-2006
ГОСТ Р ИСО/МЭК
27002-2012
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Наименование
Информационная технология. Методы и средства обеспечения
безопасности. Менеджмент инцидентов информационной безопасности
Информационная технология. Методы и средства обеспечения
безопасности. Методология оценки безопасности информационных
технологий
Информационная технология. Методы и средства обеспечения
безопасности. Оценка безопасности автоматизированных систем
Информационная технология. Методы и средства обеспечения
безопасности. Проектирование систем безопасности. Модель зрелости
процесса
Информационная технология. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности.
Общий обзор и терминология
Информационная технология. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности.
Требования
Информационная технология. Методы и средства обеспечения
безопасности. Свод норм и правил менеджмента безопасности
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
90
91.
Национальные стандарты РФОбозначение
ГОСТ Р ИСО/МЭК
27003-2012
ГОСТ Р ИСО/МЭК
27004-2011
ГОСТ Р ИСО/МЭК
27005-2010
ГОСТ Р ИСО/МЭК
27006-2008
ГОСТ Р ИСО/МЭК
27007-2014
ГОСТ Р ИСО/МЭК
27013-2014
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Наименование
Информационная технология. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности.
Руководство по реализации системы менеджмента информационной
безопасности
Информационная технология. Методы и средства обеспечения
безопасности. Менеджмент информационной безопасности. Измерения
Информационная технология. Методы и средства обеспечения
безопасности. Менеджмент риска информационной безопасности
Информационная технология. Методы и средства обеспечения
безопасности. Требования к органам, осуществляющим аудит и
сертификацию систем менеджмента информационной безопасности
Информационная технология. Методы и средства обеспечения
безопасности.
Руководства
по
аудиту
систем
менеджмента
информационной безопасности
Информационная технология. Методы и средства обеспечения
безопасности. Руководство по совместному использованию стандартов
ИСО/МЭК 27001 и ИСО/МЭК 20000-1
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
91
92.
Национальные стандарты РФОбозначение
ГОСТ Р ИСО/МЭК
27033-1-2011
ГОСТ Р ИСО/МЭК
27033-3-2014
ГОСТ Р ИСО/МЭК
27034-1-2014
ГОСТ Р ИСО/МЭК
27037-2014
ГОСТ Р ИСО/МЭК
29100-2013
Рекомендации по
стандартизации Р 50.1.0502004
Рекомендации по
стандартизации Р 50.1.0532005
Рекомендации по
стандартизации Р 50.1.0562005
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Наименование
Информационная технология. Методы и средства обеспечения
безопасности. Безопасность сетей. Часть 1. Обзор и концепции
Информационная технология. Методы и средства обеспечения
безопасности. Безопасность сетей. Часть 3. Эталонные сетевые сценарии.
Угрозы, методы проектирования и вопросы управления
Информационная технология. Методы и средства обеспечения
безопасности. Безопасность приложений. Часть 1. Обзор и общие понятия
Информационная технология. Методы и средства обеспечения
безопасности. Руководства по идентификации, сбору, получению и
хранению свидетельств, представленных в цифровой форме
Информационная технология. Методы и средства обеспечения
безопасности. Основы обеспечения приватности
Защита информации. Система обеспечения качества техники защиты
информации. Общие положения
Информационные технологии. Основные термины и определения в области
технической защиты информации
Техническая защита информации. Основные термины и определения
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
92
93.
2.4. Законодательная база США93
94.
Федеральный закон об управлении информационной безопасностьюFederal Information Security Management Act (FISMA)
• Закон о компьютерной безопасности США 1987 года
Computer Security Act 1987 [Отменен в 2002] заменен
на
Федеральный
закон
об
управлении
информационной безопасностью.
• Длинное
название.
Закон
об
усилении
информационной
безопасности
федерального
правительства, в том числе посредством требования о
разработке обязательных стандартов управления
рисками информационной безопасности.
https://www.govinfo.gov/content/pkg/STATUTE-116/pdf/STATUTE-116-Pg2899.pdf
https://en.wikipedia.org/wiki/Federal_Information_Security_Management_Act_of_2002
https://en.wikipedia.org/wiki/Federal_Information_Security_Modernization_Act_of_2014
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
94
95.
Федеральный закон об управлении информационной безопасностьюFederal Information Security Management Act (FISMA)
• Цели:
• создание комплексной нормативной базы для обеспечения эффективности
механизмов контроля информационной безопасности информационных ресурсов,
обслуживающих деятельность и активы федерального правительства;
• обеспечение разработки и функционирования минимальных механизмов контроля,
необходимых для защиты федеральной информации и информационных систем;
• признание того, что коммерческие продукты информационной безопасности
обеспечивают современные, динамичные, отказоустойчивые и эффективные решения
в сфере информационной безопасности, в связи с чем рыночные решения по защите
критических
инфраструктур
информации,
разработанные,
созданные
и
обслуживаемые частным сектором, признаются важными для национальной защиты
и экономической безопасности нации; а также
• признание того, что выбор конкретных решений в области аппаратного и
программного обеспечения информационной безопасности из имеющихся продуктов
коммерческой разработки должен оставаться на усмотрение отдельных федеральных
органов.
• FISMA требует разработки, документирования и внедрения каждым федеральным
органом единой для этого органа программы обеспечения информационной
безопасности информации и информационных систем, обслуживающих деятельность и
активы этого федерального органа, включая предоставляемые или управляемые другим
федеральным органом, подрядчиком или другим источником.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
95
96.
Federal Information Security Management Act (FISMA)Минимальные требования безопасности
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
96
97.
TCSEC (Trusted Computer System Evaluation Criteria)Критерии
оценки
доверенных компьютерных
систем
—
стандарт
Министерства
обороны
США (англ. Department of
Defense Trusted Computer
System Evaluation Criteria,
TCSEC, DoD 5200.28-STD,
December 26, 1985), более
известный под именем
«Оранжевая книга» (англ.
"Orange Book") из-за цвета
обложки.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
97
98.
TCSEC (Trusted Computer System Evaluation Criteria)• Критерии определения безопасности компьютерных систем
(англ. Trusted Computer System Evaluation Criteria) — стандарт
Министерства обороны США, устанавливающий основные
условия для оценки эффективности средств компьютерной
безопасности, содержащихся в компьютерной системе.
• Критерии используются для определения, классификации и
выбора компьютерных систем, предназначенных для
обработки, хранения и поиска важной или секретной
информации.
• Аналогом Оранжевой книги является международный
стандарт ISO/IEC 15408. Это более универсальный и
совершенный стандарт, но вопреки распространённому
заблуждению, он не заменял собой Оранжевую книгу в силу
разной юрисдикции документов — Оранжевая книга
используется исключительно Министерством Обороны США, в
то время как ISO/IEC 15408 ратифицировали множество стран,
включая Россию.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
98
99.
В "Оранжевой книге" перечислены семьуровней защиты (доверия)
• В критериях впервые введены четыре уровня доверия — D, C, B и A,
которые подразделяются на классы. Классов безопасности всего шесть
— C1, C2, B1, B2, B3, A1 (перечислены в порядке ужесточения
требований).
• А1 – верифицированная разработка. Этот уровень требует, чтобы защиту
секретной и другой критичной информации средствами управления
безопасностью гарантировали методы формальной верификации.
• В3 – домены безопасности. Этот уровень предназначен для защиты систем
от опытных программистов.
• В2 – структурированная защита. В систему с этим уровнем защиты нельзя
допустить проникновение хакеров.
• В1 – мандатный контроль доступа. Защиту этого уровня, возможно, удастся
преодолеть опытному хакеру, но никак не рядовым пользователям.
• С2 – дискреционный контроль доступа. Уровень С2 обеспечивает защиту
процедур входа, позволяет производить контроль за событиями, имеющими
отношение к безопасности, а также изолировать ресурсы.
• С1 – избирательная защита. Этот уровень дает пользователям возможность
защитить личные данные или информацию о проекте, установив средства
управления доступом.
• D – минимальная защита. Этот нижний уровень защиты оставлен для
систем, которые проходили тестирование, но не смогли удовлетворить
требованиям более высокого класса.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
99
100.
TCSEC (Trusted Computer System Evaluation Criteria)• Вслед за «Оранжевой книгой» появилась целая «Радужная
серия». Наиболее значимой в ней явилась интерпретация
«Оранжевой книги» для сетевых конфигураций (англ. National
Computer Security Center. Trusted Network Interpretation, NCSCTG-005, 1987), где в первой части интерпретируется
«Оранжевая книга», а во второй части описываются сервисы
безопасности, специфичные для сетевых конфигураций.
• Аналогом Оранжевой книги является международный
стандарт ISO/IEC 15408, опубликованный в 2005 году. Это более
универсальный и совершенный стандарт, но вопреки
распространённому заблуждению, он не заменял собой
Оранжевую книгу в силу разной юрисдикции документов —
Оранжевая
книга
используется
исключительно
Министерством Обороны США, в то время как ISO/IEC 15408
ратифицировали множество стран, включая Россию.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
100
101.
Центр национальной компьютерной безопасности СШАhttps://www.nsa.gov
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
101
102.
Центр национальной компьютерной безопасности СШАhttps://www.nsa.gov
• Центр национальной компьютерной безопасности США (англ.
National Computer Security Center) — является частью Агентства
национальной безопасности США. Он отвечает за безопасность
компьютеров на федеральном уровне. В конце 80-х и начале 90х годов, Агентство национальной безопасности и Центр
национальной компьютерной безопасности США опубликовали
ряд критериев оценки надежности компьютерных систем в
радужной серии книг.
• Центр национальной компьютерной безопасности (NCSC)
является частью правительственной организации Агентства
национальной безопасности США. Он составляет критерии
оценки безопасности вычислительной техники. Эти критерии
гарантируют, что средства обработки секретной информации
пользуются только проверенными компьютерными системами и
компонентами.
Организация
работает
в
сфере
промышленности, образования и правительства, в областях
связанных с конфиденциальностью или высокой степенью
секретности информации.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
102
103.
Computer security resource centerhttps://csrc.nist.gov
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
103
104.
SP 800 series – 194 документаhttps://csrc.nist.gov/publications/sp800
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
104
105.
Пример одного из документовNIST Special Publication 800-53
• NIST Special Publication
800-53 Revision 5
• Security and Privacy Controls for
Information Systems and
Organizations
• «Контроли безопасности и
приватности для федеральных
информационных систем и
организаций» - 492 стр.
• Publication Date: September 2020
• DOI: https://doi.org/10.6028/NIST.SP.800-53r5
• https://nvlpubs.nist.gov/nistpubs/SpecialPublicati
ons/NIST.SP.800-53r4.pdf
• https://nvlpubs.nist.gov/nistpubs/SpecialPublicati
ons/NIST.SP.800-53r5.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
105
106.
SP 800 seriesУправление информационной безопасностью
SP 800-50
SP 800-84
SP 800-100
SP 800-60
SP 800-115
Создание программы повышения осведомленности в области безопасности ИТ
Зоны ответственности участников процесса, подготовка материала, возможные
проблемы на этапе внедрения программы, процесс контроля/аудита, примеры
Тестирование планов безопасности ИТ
Политика, зоны ответственности, методология, примеры документов, частные
методики: «настольный» тест, симуляции, тестирование в реальной обстановке
Коротко об информационной безопасности для руководства
Процесс обеспечения ИБ в организации, жизненный цикл ИТ-систем, безопасность
взаимодействия ИТ-систем, обучение/повышение осведомленности сотрудников в
сфере ИБ, управление рисками в области ИБ, оценивание, сертификация, контроль,
управление непрерывностью и инцидентами
Классификация информации и информационных систем по требованиям к
безопасности методика классификатор
Методика присвоения и классификатор (рекомендуемые значения) уровней влияния
нарушения конфиденциальности, целостности и доступности в зависимости от вида
(назначения) обрабатываемой информации
Технические вопросы оценки уровня ИБ
Способы оценки, самооценка, внутренний аудит, внешний аудит, pentest, организация
процесса, проведение оценивания, анализ результатов, использование результатов в
процессе совершенствования ИБ организации
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
106
107.
SP 800 seriesУправление информационной безопасностью
SP 800-118
SP 800-37
SP 800-34
SP 800-137
Управление паролями
Существующие угрозы при использовании парольной аутентификации, обеспечение
безопасности хранения парольной базы, атаки социальной инженерии.
Управление рисками ИБ в федеральных информационных системах
Детализированная методика управления рисками ИБ, роли и зоны ответственности
участников процесса, описание сопутствующих документов
Планирование обеспечения непрерывности в федеральных информационных системах
Взаимосвязь различных уровней обеспечения непрерывности, оценка влияния
различных видов инцидентов на сервис, выбор стратегий, разработка и тестирование
планов, основные технологии обеспечения непрерывности функционирования
информационных систем и сервисов
Мониторинг ИБ в федеральных информационных системах
Возможные уровни мониторинга безопасности: организация в целом / бизнеспроцессы / ИТ-системы, разработка стратегии мониторинга, определение метрик,
анализ поступающих данных, использование результатов в процессе
совершенствования ИБ организации
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
107
108.
SP 800 seriesУправление информационной безопасностью
SP 800-61
SP 800-40
Управление инцидентами в области ИБ
Планирование процесса, создание группы реагирования и регламентов ее
функционирования, обнаружение инцидентов, приоритезация, выбор стратегии
противодействия, снижение ущерба, восстановление систем, обеспечение
взаимодействия исполнителей в процессе реагирования на инцидент
Управление обновлениями безопасности
Вопросы и проблемы процесса управления обновлениями, технологии поддержания
программного обеспечения в актуальном состоянии, метрики процесса
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
108
109.
SP 800 series. Технические вопросы обеспеченияинформационной безопасности
SP 800-24
SP 800-58
SP 800-77
SP 800-88
SP 800-92
SP 800-45
SP 800-54
SP 800-95
SP 800-44
SP 800-111
SP 800-114
SP 800-28
SP 800-113
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Информационная безопасность учрежденческих АТС (PBX)
Информационная безопасность VoIP
Введение в IPSEC
Доверенная очистка (уничтожение) данных на носителях информации
Управление журналами безопасности
Безопасность электронной почты
Безопасность BGP
Разработка безопасных Web-сервисов
Обеспечение безопасности публичных Web-серверов
Технологии шифрования данных при хранении (на стороне пользователя)
Защита устройств пользователя, используемых для удаленного доступа в
сеть организации
Угрозы пользователю при использовании активного контента и
мобильного кода
Введение в SSL VPN
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
109
110.
SP 800 series. Технические вопросы обеспеченияинформационной безопасности
SP 800-48
SP 800-46
SP 800-41
SP 800-81
SP 800-127
SP 800-119
SP 800-82
SP 800-63
SP 800-125
SP 800-144
SP 800-147
SP 800-121
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Дополнительные меры безопасности при использовании устаревших
протоколов беспроводных сетей (WEP, WPA)
Обеспечение безопасности при организации удаленного доступа в сеть
организации
Файрволы (межсетевые экраны) и политики их применения
Внедрение Secure DNS
Обеспечение безопасности WiMAX-сетей
Вопросы безопасности при внедрении IPv6
Безопасность промышленных систем
Аутентификация в информационных системах
Обеспечение безопасности при использовании технологий виртуализации
= хабраперевод =
Вопросы безопасности при использовании публичных облаков
Обеспечение целостности BIOS
Безопасность технологии Bluetooth
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
110
111.
SP 800 series. Технические вопросы обеспеченияинформационной безопасности
SP 800-83
SP 800-94
SP 800-124
SP 800-146
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Антивирусная защита стационарных и мобильных рабочих мест
сотрудников
Системы обнаружения/предотвращения вторжений (IDS/IPS)
Обеспечение безопасности мобильных устройств организации
Облачные вычисления: обзор технологий, анализ преимуществ и
недостатков
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
111
112.
Federal Information Processing Standards (FIPS)• Федеральные стандарты обработки информации (англ. Federal
Information Processing Standards, FIPS) — открыто публикуемые
стандарты,
разработанные
правительством
США,
используемые всеми гражданскими правительственными
учреждениями и контрагентами в США.
• Стандарты FIPS разработаны для установления требований для
различных целей, таких как обеспечение компьютерной
безопасности и совместимости, и предназначены для случаев,
когда подходящих отраслевых стандартов ещё не существует.
Многие из стандартов FIPS представляют собой изменённые
версии других широко распространённых стандартов, таких как
Американский национальный институт стандартов (ANSI),
Институт инженеров электротехники и электроники (IEEE) и
Международная организация по стандартизации (ISO).
Некоторые
из
стандартов
FIPS
были
разработаны
правительством США. Например, коды стран, а также такие
криптографические стандарты, как DES (FIPS 46) и AES (FIPS 197).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
112
113.
Federal Information Processing Standards (FIPS)Federal Information Processing Standards Publications (FIPS PUBS)
https://www.nist.gov/itl/publications-0/federal-information-processing-standards-fips
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
113
114.
Международное законодательство вобласти информационной безопасности
114
115.
Международное законодательство вобласти информационной безопасности
Common Criteria for Information Technology
Security Evaluation, (Common Criteria)
115
116.
Common Criteria• В начале 90-х годов прошлого века многие страны имели
собственные национальные стандарты по сертификации
средств защиты информации:
Канада - CSE
США - NIST и NSA
Франция - SCSSI
Великобритания - CESG
Нидерланды - NL-NCSA
Германия - BSI
Россия - РД ФСТЭК (ГТК)
• Common
Criteria
стал
попыткой
сформировать
международный
стандарт
по
сертификации
информационных систем по требованиям безопасности.
В 1999г. был принят первый международный стандарт
ISO 15408 "Common Criteria for Information Technology
Security Evaluation".
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
116
117.
ISO/IEC 15408Общие критерии оценки защищённости информационных технологий, Общие критерии
Common Criteria for Information Technology Security Evaluation, Common Criteria
• Общие
критерии
оценки
защищённости
информационных технологий, Общие критерии (англ.
Common Criteria for Information Technology Security
Evaluation, Common Criteria, CC) — международный
стандарт ISO/IEC 15408 по компьютерной безопасности,
описывает инфраструктуру (framework), в которой
потребители компьютерной системы могут описать
требования, разработчики могут заявить о свойствах
безопасности продуктов, а эксперты по безопасности
определить, удовлетворяет ли продукт заявлениям.
• Таким образом, Common Criteria позволяет обеспечить
условия, в которых процесс описания, разработки и
проверки продукта будет произведён с необходимой
скрупулёзностью.
• Прообразом данного документа послужили «Критерии оценки безопасности
информационных технологий» (Evaluation Criteria for IT Security, ECITS) –
Оранжевая книга.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
117
118.
Common Criteriahttps://www.commoncriteriaportal.org
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
118
119.
Common Criteria Publications• Common Criteria Publications
https://www.commoncriteriaportal.org/cc/
• Common Criteria for Information Technology Security Evaluation. Part 1:
Introduction and general model [April 2017, Version 3.1 Revision 5] CCMB-201704-001
https://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R5.pdf
• Common Criteria for Information Technology Security Evaluation. Part 2: Security
functional components [April 2017, Version 3.1 Revision 5] CCMB-2017-04-002
https://www.commoncriteriaportal.org/files/ccfiles/CCPART2V3.1R5.pdf
• Common Criteria for Information Technology Security Evaluation. Part 3: Security
assurance requirements [April 2017, Version 3.1 Revision 5] CCMB-2017-04-003
https://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R5.pdf
• Common Methodology for Information Technology Security Evaluation.
Evaluation methodology [April 2017, Version 3.1 Revision 5] CCMB-2017-04-004
https://www.commoncriteriaportal.org/files/ccfiles/CEMV3.1R5.pdf
• CC and CEM addenda. Exact Conformance, Selection-Based SFRs, Optional SFRs
[May 2017, Version 0.5] CCDB-2017-05-xxx
https://www.commoncriteriaportal.org/files/ccfiles/CCDB-2017-05-17CCaddenda-Exact_Conformance.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
119
120.
ISO/IEC 15408• ISO/IEC 15408-1:2009 Information technology — Security
techniques — Evaluation criteria for IT security —
Part 1: Introduction and general model
• ISO/IEC 15408-2:2008 Information technology — Security
techniques — Evaluation criteria for IT security —
Part 2: Security functional components
• ISO/IEC 15408-3:2008 Information technology — Security
techniques — Evaluation criteria for IT security —
Part 3: Security assurance components
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
120
121.
ГОСТ Р ИСО/МЭК 15408• ГОСТ Р ИСО/МЭК 15408-1-2012 Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 1 Введение и общая модель
(Information technology. Security techniques. Evaluation criteria for IT security.
Part 1. Introduction and general model)
https://docs.cntd.ru/document/1200101777
• ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и
средства обеспечения безопасности. критерии оценки безопасности
информационных технологий. Часть 2 Функциональные компоненты
безопасности (Information technology. Security techniques. Evaluation criteria
for IT security. Part 2. Security functional components)
https://docs.cntd.ru/document/1200105710
• ГОСТ Р ИСО/МЭК 15408-3-2013 Информационная технология. Методы и
средства обеспечения безопасности. Критерии оценки безопасности
информационных технологий. Часть 3. Компоненты доверия к
безопасности (Information technology. Security techniques. Evaluation criteria
for IT security. Part 3. Security assurance requirements)
https://docs.cntd.ru/document/1200105711
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
121
122.
ГОСТ Р ИСО/МЭК 15408• ГОСТ Р ИСО/МЭК 18045-2013. Информационная технология. Методы и
средства обеспечения безопасности. Методология оценки безопасности
информационных технологий (Information technology - Security techniques Methodology for IT security evaluation)
https://docs.cntd.ru/document/1200105309
• ГОСТ Р 58142-2018 Информационная технология (ИТ). Методы и средства
обеспечения безопасности. Детализация анализа уязвимостей
программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и
ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для
идентификации потенциальных уязвимостей
https://docs.cntd.ru/document/1200159380
• ГОСТ Р 58143-2018 Информационная технология (ИТ). Методы и средства
обеспечения безопасности. Детализация анализа уязвимостей
программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК 15408 и
ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения
https://docs.cntd.ru/document/1200095100
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
122
123.
Common Criteria. Основные понятия• Стандарт содержит два основных вида требований
безопасности: функциональные, предъявляемые к
функциям безопасности и реализующим их
механизмам, и требования доверия, предъявляемые
к технологии и процессу разработки и эксплуатации.
• Чтобы структурировать пространство требований, в
стандарте используется иерархия класс-семействокомпонент-элемент: классы определяют наиболее
общую, «предметную» группировку требований,
семейства в пределах класса различаются по строгости
и другим нюансам требований, компонент —
минимальный набор требований, фигурирующий как
целое, элемент — неделимое требование.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
123
124.
Common Criteria. Функциональные требования• Функциональные требования сгруппированы на основе выполняемой ими
роли или обслуживаемой цели безопасности, всего 11 функциональных
классов (в трёх группах), 66 семейств, 135 компонентов.
1. Первая группа определяет элементарные сервисы безопасности:
2.
• FAU — аудит, безопасность (требования к сервису, протоколирование и аудит);
• FIA — идентификация и аутентификация;
• FRU — использование ресурсов (для обеспечения отказоустойчивости).
Вторая группа описывает производные сервисы, реализованные на базе
элементарных:
3.
FCO — связь (безопасность коммуникаций отправитель-получатель);
FPR — приватность;
FDP — защита данных пользователя;
FPT — защита функций безопасности объекта оценки.
Третья группа классов связана с инфраструктурой объекта оценки:
• FCS — криптографическая поддержка (обеспечивает управление криптоключами и
крипто-операциями);
• FMT — управление безопасностью;
• FTA — доступ к объекту оценки (управление сеансами работы пользователей);
• FTP — доверенный маршрут/канал;
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
124
125.
ISO 15408 Common Criteria for InformationTechnology Security Evaluation
• Стандарт позволяет формировать задания по безопасности —
унифицированные документы, с помощью которых компьютерной системы
могут изложить требования к безопасности продукта, разработчики могут
заявить о свойствах безопасности своего продукта, эксперты по безопасности
— определить, удовлетворяет ли продукт этим заявлениям, а потребители
оценить, пригоден ли продукт для их компьютерных систем. Таким образом,
стандарт обеспечивает условия, в которых процесс описания, разработки и
проверки продукта на требования по безопасности производится с
необходимой скрупулёзностью.
• Процедура сертификации, предусмотренная ISO 15408, имеет два важных
отличия от других видов оценки соответствия.
• Во-первых, в отличие, например, от сертификации на соответствие
техническим условиям, разработчик сертифицируемого продукта обязан не
только декларировать функции безопасности своего решения, но и
обосновать достаточность этих функций для противодействия угрозам,
характерных для тех условий, в которых предполагается эксплуатация.
• Во-вторых, в сертификате указывается уровень доверия (Evaluation
Assurance Level, EAL), позволяющий потребителю сертифицированного
решения судить о том, насколько глубоко это решение было исследовано в
ходе сертификационных испытаний.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
125
126.
Оценочные уровни обеспечения безопасностиEvaluation Assurance Levels
• Evaluation Assurance Level (EAL) - это система оценки.
• Существует 7 уровней подтверждения оценки в
соответствии с Общими критериями :
EAL1: функционально протестировано
EAL2: структурно протестировано
EAL3: методически проверено и подтверждено
EAL4: методически разработанный, испытанный и
проверенный
• EAL5: полуформальный разработан и протестирован
• EAL6: полуформально проверенная конструкция и
испытанная система
• EAL7: официально проверенная конструкция и испытанная
система
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
126
127.
Оценочные уровни обеспечения безопасностиEvaluation Assurance Levels
• EAL7 – самый высокий уровень предполагает формальную
верификацию модели объекта оценки. Он применим к
системам очень высокого риска.
• EAL6 определяется, как полуформально верифицированный и
протестированный. На уровне EAL6 реализация должна быть
представлена в структурированном виде, анализ соответствия
распространяется на проект нижнего уровня, проводится
строгий анализ покрытия, анализ и тестирование небезопасных
состояний.
• EAL5 определяется, как полуформально спроектированный и
протестированный.
Он
предусматривает
создание
полуформальной функциональной спецификации и проекта
высокого уровня с демонстрацией соответствия между ними,
формальной
модели
политики
безопасности,
стандартизованной модели жизненного цикла, а также
проведение анализа скрытых каналов.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
127
128.
Оценочные уровни обеспечения безопасностиEvaluation Assurance Levels
• EAL4
методически
спроектированный,
протестированный
и
пересмотренный. Он предполагает наличие автоматизации управления
конфигурацией, полной спецификации интерфейсов, описательного проекта
нижнего уровня, подмножества реализаций функций безопасности,
неформальной модели политики безопасности, модели жизненного цикла,
анализ валидации, независимый анализ уязвимостей. По всей вероятности,
это самый высокий уровень, которого можно достичь на данном этапе
развития технологии программирования с приемлемыми затратами.
• EAL3 - методически протестированный и проверенный. На уровне EAL3
осуществляется более полное, чем на уровне EAL2, тестирование покрытия
функций безопасности, а также контроль среды разработки и управление
конфигурацией объекта оценки.
• EAL2 - структурно протестированный. Он предусматривает создание
описательного проекта верхнего уровня объекта оценки, описание процедур
инсталляции и поставки, руководств администратора и пользователя,
функциональное и независимое тестирование, оценку прочности функций
безопасности, анализ уязвимостей разработчиками.
• EAL1 определяется, как функционально протестированный. Он обеспечивает
анализ функций безопасности с использованием функциональной
спецификации и спецификации интерфейсов, руководящей документации, а
также независимое тестирование. На этом уровне угрозы не
рассматриваются как серьезные.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
128
129.
Международное законодательство вобласти информационной безопасности
Группа международных стандартов 270000
ISO/IEC 27000 Series
129
130.
Серия стандартов ISO/IEC 27000• ISO/IEC 27000 — серия международных стандартов,
включает стандарты по информационной безопасности
опубликованные
совместно
Международной
Организацией
по
Стандартизации
(ISO)
и
Международной Электротехнической Комиссии (IEC).
• Серия содержит лучшие практики и рекомендации в
области информационной безопасности для создания,
развития и поддержания Системы Менеджмента
Информационной Безопасности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
130
131.
Семейство стандартов ISO / IEC 27000Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
131
132.
Серия стандартов ISO/IEC 27000• Согласно серии международных стандартов ISO 27000, система
управления информационной безопасностью строится на
непрерывных процессах.
• Такой подход находит свое отражение в цикле Деминга - PDCA
(Plan-Do-Check-Act (Планирование – Выполнение – Оценка –
Корректировка)).
• Система менеджмента информационной безопасности
предполагает постоянное развитие и совершенствование:
• Планирование работ
• Выполнение
• Проверка достигнутых результатов
• Корректировка плана
• Это бесконечный цикл, который позволяет системе
информационной безопасности быть современной, отвечать
последним требованиям нормативных документов и успешно
противостоять актуальным угрозам различных кибер-атак.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
132
133.
ГОСТ Р ИСО/МЭК 27000-2021• ГОСТ Р ИСО/МЭК 27000-2021
• Информационные
технологии. Методы и
средства обеспечения
безопасности. Системы
менеджмента
информационной
безопасности. Общий обзор
и терминология
• http://protect.gost.ru/v.aspx?control=8&baseC=6&pag
e=1&month=6&year=2021&search=&RegNum=1&Doc
OnPageCount=15&id=230305
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
133
134.
СТБ ISO/IEC 27000-2012• СТБ ISO/IEC 27000-2012
Информационные
технологии. Методы
обеспечения
безопасности. Системы
менеджмента
информационной
безопасности.
Основные положения
и словарь
• https://tnpa.by/#!/DocumentCard
/283193/381002
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
134
135.
ISO 27001/ГОСТ 27001-2013 системаменеджмента информационной безопасности
ISO/IEC 27001:2013 – международный стандарт по менеджменту информационной безопасности для применения в любой отрасли, в основу которого заложен
рисковый подход. Стандарт состоит из основной части: требований к процессам менеджмента, реализуемых по принципу постоянного совершенствования, и
приложения с контрольными механизмами для обработки выявленных рисков информационной безопасности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
135
136.
Стандарт ISO/IEC 27001: группа стандартов ISO 27000Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
136
137.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
137
138.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
138
139.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
139
140.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
140
141.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
141
142.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
142
143.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
143
144.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
144
145.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
145
146.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
146
147.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
147
148.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
148
149.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
149
150.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
150
151.
ISO/IEC 27001: направления информационной безопасностиБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
151
152.
Стандарт ISO/IEC 27001: зрелость систем и отчетностьБелорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
152
153.
ISO/IEC 27000 Series1. ISO/IEC 27000 — Information security management systems — Overview and vocabulary
2. ISO/IEC 27001 — Information technology - Security Techniques - Information security management systems —
Requirements. The 2013 release of the standard specifies an information security management system in the
same formalized, structured and succinct manner as other ISO standards specify other kinds of management
systems.
3. ISO/IEC 27002 — Code of practice for information security controls - essentially a detailed catalog of
information security controls that might be managed through the ISMS
4. ISO/IEC 27003 — Information security management system implementation guidance
5. ISO/IEC 27004 — Information security management — Monitoring, measurement, analysis and evaluation[9]
6. ISO/IEC 27005 — Information security risk management
7. ISO/IEC 27006 — Requirements for bodies providing audit and certification of information security
management systems
8. ISO/IEC 27007 — Guidelines for information security management systems auditing (focused on auditing the
management system)
9. ISO/IEC TR 27008 — Guidance for auditors on ISMS controls (focused on auditing the information security
controls)
10. ISO/IEC 27009 — Essentially an internal document for the committee developing sector/industry-specific
variants or implementation guidelines for the ISO27K standards
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
153
154.
ISO/IEC 27000 Series11. ISO/IEC 27010 — Information security management for inter-sector and inter-organizational
communications
12. ISO/IEC 27011 — Information security management guidelines for telecommunications organizations based
on ISO/IEC 27002
13. ISO/IEC 27013 — Guideline on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1
(derived from ITIL)
14. ISO/IEC 27014 — Information security governance. Mahncke assessed this standard in the context of
Australian e-health.
15. ISO/IEC TR 27015 — Information security management guidelines for financial services - Now withdrawn
16. ISO/IEC TR 27016 — information security economics
17. ISO/IEC 27017 — Code of practice for information security controls based on ISO/IEC 27002 for cloud
services
18. ISO/IEC 27018 — Code of practice for protection of personally identifiable information (PII) in public clouds
acting as PII processors
19. ISO/IEC 27019 — Information security for process control in the energy industry
20. ISO/IEC 27021 — Competence requirements for information security management systems professionals
21. ISO/IEC TS 27022 — Guidance on information security management system processes - Under development
22. ISO/IEC TR 27023 — Mapping the revised editions of ISO/IEC 27001 and ISO/IEC 27002
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
154
155.
ISO/IEC 27000 Series23. ISO/IEC 27031 — Guidelines for information and communication technology readiness for business
continuity
24. ISO/IEC 27032 — Guideline for cybersecurity
25. ISO/IEC 27033 — IT network security
26. ISO/IEC 27033-1 — Network security - Part 1: Overview and concepts
27. ISO/IEC 27033-2 — Network security - Part 2: Guidelines for the design and implementation of network
security
28. ISO/IEC 27033-3 — Network security - Part 3: Reference networking scenarios - Threats, design techniques
and control issues
29. ISO/IEC 27033-4 — Network security - Part 4: Securing communications between networks using security
gateways
30. ISO/IEC 27033-5 — Network security - Part 5: Securing communications across networks using Virtual Private
Networks (VPNs)
31. ISO/IEC 27033-6 — Network security - Part 6: Securing wireless IP network access
32. ISO/IEC 27034-1 — Application security - Part 1: Guideline for application security
33. ISO/IEC 27034-2 — Application security - Part 2: Organization normative framework
34. ISO/IEC 27034-3 — Application security - Part 3: Application security management process
35. ISO/IEC 27034-4 — Application security — Part 4: Validation and verification - Under development
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
155
156.
ISO/IEC 27000 Series36. ISO/IEC 27034-5 — Application security — Part 5: Protocols and application security controls data structure
37. ISO/IEC 27034-5-1 — Application security — Part 5-1: Protocols and application security controls data
structure, XML schemas
38. ISO/IEC 27034-6 — Application security - Part 6: Case studies
39. ISO/IEC 27034-7 — Application security — Part 7: Assurance prediction framework
40. ISO/IEC 27035-1 — Information security incident management - Part 1: Principles of incident management
41. ISO/IEC 27035-2 — Information security incident management - Part 2: Guidelines to plan and prepare for
incident response
42. ISO/IEC 27035-3 — Information security incident management — Part 3: Guidelines for ICT incident response
operations
43. ISO/IEC 27035-4 — Information security incident management — Part 4: Coordination - Under development
44. ISO/IEC 27036-1 — Information security for supplier relationships - Part 1: Overview and concepts
45. ISO/IEC 27036-2 — Information security for supplier relationships - Part 2: Requirements
46. ISO/IEC 27036-3 — Information security for supplier relationships - Part 3: Guidelines for information and
communication technology supply chain security
47. ISO/IEC 27036-4 — Information security for supplier relationships - Part 4: Guidelines for security of cloud
services
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
156
157.
ISO/IEC 27000 Series48. ISO/IEC 27037 — Guidelines for identification, collection, acquisition and preservation of digital evidence
49. ISO/IEC 27038 — Specification for Digital redaction on Digital Documents
50. ISO/IEC 27039 — Intrusion prevention
51. ISO/IEC 27040 — Storage security
52. ISO/IEC 27041 — Investigation assurance
53. ISO/IEC 27042 — Analyzing digital evidence
54. ISO/IEC 27043 — Incident investigation
55. ISO/IEC 27050-1 — Electronic discovery - Part 1: Overview and concepts
56. ISO/IEC 27050-2 — Electronic discovery - Part 2: Guidance for governance and management of electronic
discovery
57. ISO/IEC 27050-3 — Electronic discovery - Part 3: Code of practice for electronic discovery
58. ISO/IEC TS 27110 — Information technology, cybersecurity and privacy protection — Cybersecurity
framework development guidelines
59. ISO/IEC 27701 — Information technology - Security Techniques - Information security management systems
— Privacy Information Management System (PIMS).
60. ISO 27799 — Information security management in health using ISO/IEC 27002 - guides health industry
organizations on how to protect personal health information using ISO/IEC 27002.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
157
158.
ISO/IEC 27000 Series. Локализациив Российской Федерации
ГОСТ Р ИСО/МЭК 27000
в Республике Беларусь
СТБ ISO/IEC 27000
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
158
159.
Международное законодательство вобласти информационной безопасности
Стандарты ISO в области IT-безопасности
159
160.
299 Стандартов ISO в области IT безопасности, включая шифрованиеhttps://www.iso.org/ics/35.030/x/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
160
161.
212 Стандартов ISO в области IT безопасности и защиты частной жизниhttps://www.iso.org/committee/45306/x/catalogue/p/1/u/0/w/0/d/0
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
161
162.
Европейский союзВ Европейском союзе действуют все
выше представленные международные
стандарты ISO, а также и другие
стандарты, нормативные документы,
законодательные акты и др.
Однако наиболее часто применяемые
это стандарты ISO серии 2700, 15408,
3100 и General Data Protection
Regulation (GDPR).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
162
163.
Белорусско-Российский университетКафедра «Программное обеспечение информационных технологий»
Методы и средства защиты информации
Тема: Правовое регулирование в области
информационной безопасности
Благодарю
за внимание
КУТУЗОВ Виктор Владимирович
Белорусско-Российский университет, Республика Беларусь, Могилев, 2021
163
164.
Список использованных источников1.
Конституция Республики Беларусь 1994 года (с изменениями и дополнениями, принятыми на
республиканских референдумах 24 ноября 1996 г. и 17 октября 2004 г.)
https://pravo.by/pravovaya-informatsiya/normativnye-dokumenty/konstitutsiya-respubliki-belarus/
2.
КОНЦЕПЦИЯ национальной безопасности Республики Беларусь (Указ Президента Республики
Беларусь от 9 ноября 2010 г. № 575)
https://pravo.by/document/?guid=3871&p0=P31000575
3.
Закон Республики Беларусь от 10 ноября 2008 г. № 455-З
«Об информации, информатизации и защите информации»
https://pravo.by/document/?guid=3871&p0=h10800455
4.
Закон Республики Беларусь от 19 июля 2010 г. N 170-З «О государственных секретах» (в ред. Законов
Республики Беларусь от 25.11.2013 N 72-З, от 23.10.2014 N 196-З, от 17.07.2018 N 124-З, от 10.12.2020
N 65-З) http://kgb.by/ru/zakon170-3/
5.
Указ Президента Республики Беларусь от 25 февраля 2011 г. № 68
«О некоторых вопросах в сфере государственных секретов»
http://kgb.by/ru/ukaz68
6.
Постановление Совета Министров Республики Беларусь от 25 января 2019 г. № 53
«О допуске граждан к государственным секретам»
http://kgb.by/ru/post400
7.
Нормативные правовые акты регламентирующие деятельность КГБ РБ
http://kgb.by/ru/normat-prav-akty-ru/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
164
165.
Список использованных источников8.
Постановление Совета Министров РБ от 12 августа 2014 г. № 783 «О служебной информации
ограниченного распространения и информации, составляющей коммерческую тайну»
https://pravo.by/document/?guid=3871&p0=C21400783&p1=1
9.
Постановление Комитета государственной безопасности Республики Беларусь от 17 декабря 2018 г. №
17 «Об утверждении Инструкции о порядке выдачи разрешений на осуществление деятельности с
использованием государственных секретов»
http://kgb.by/ru/instrukc-gs
10. Оперативно-аналитический центр при Президенте Республики Беларусь
https://oac.gov.by/
11. Законы Республики Беларусь
https://oac.gov.by/law/laws-of-the-republic-of-belarus
12. Указы Президента Республики Беларусь
https://oac.gov.by/law/decrees-of-the-president-of-the-republic-of-belarus
13. Постановления Совета Министров Республики Беларусь
https://oac.gov.by/law/resolutions-of-the-council-of-ministers-of-the-republic-of-belarus
14. Постановления Оперативно-аналитического центра при Президенте Республики Беларусь
https://oac.gov.by/law/resolutions-of-the-oac
15. Приказы Оперативно-аналитического центра при Президенте Республики Беларусь
https://oac.gov.by/law/orders-of-the-oac
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
165
166.
Список использованных источников16. ТР 2013/027/BY «Информационные технологии. Средства защиты информации.
Информационная безопасность»
http://www.government.by/upload/docs/file0bcd50754d1e60d7.PDF
17. Закон РБ от 7 мая 2021 г. № 99-З «О защите персональных данных»
https://pravo.by/upload/docs/op/H12100099_1620939600.pdf
18. Стандарты Республики Беларусь «Информационные технологии и безопасность»
https://tnpa.by/#!/SimpleSearch/search_value=СТБ%2034.101/tab=TabOne/page=/status=/state=/num_of_
records=undefined
19. Кодекс Республики Беларусь «Об административных правонарушениях»
https://pravo.by/upload/docs/op/HK2100091_1611262800.pdf
20. Гражданский Кодекс Республики Беларусь
https://pravo.by/document/?guid=3871&p0=hk9800218
21. Уголовный Кодекс Республики Беларусь
https://pravo.by/document/?guid=3871&p0=Hk9900275
22. ПЕРЕЧЕНЬ стандартов и рекомендаций в области информационной безопасности, применяемых в
рамках реализации цифровой повестки Евразийского экономического союза. Рекомендации Коллегии
Евразийской экономической комиссии от 12 марта 2019 г. № 9
https://pravo.by/document/?guid=3871&p0=F01900068
23. Защита информации : учебное пособие / А.П. Жук, Е.П. Жук, О.М. Лепешкин, А.И. Тимошкин. — 3-е
изд. — Москва : РИОР : ИНФРА-М, 2021. — 400 с.
https://znanium.com/catalog/product/1210523
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
166
167.
Список использованных источников24. Государственные органы РФ, контролирующие деятельность в области защиты информации
https://www.sites.google.com/site/bakuelizavetapetrovna/normativnye-dokumenty-v-oblastiinformacionnoj-bezopasnosti/gosudarstvennye-organy-rf-kontroliruusie-deatelnost-v-oblasti-zasityinformacii
25. Совет Безопасности Российской Федерации
http://www.scrf.gov.ru
26. Комитет Государственной Думы Российской Федерации
по безопасности и противодействию коррупции
http://komitet2-16.km.duma.gov.ru/
27. Федеральная служба по техническому и экспортному контролю России (ФСТЭК)
https://fstec.ru
28. Роскомнадзор
https://rkn.gov.ru
29. Федеральная служба безопасности Российской Федерации (ФСБ России)
http://www.fsb.ru/
30. Служба внешней разведки Российской Федерации (СВР России)
http://www.svr.gov.ru/
31. Министерство обороны Российской Федерации (Минобороны России)
https://www.mil.ru/
32. Министерство внутренних дел Российской Федерации (МВД России)
https://мвд.рф/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
167
168.
Список использованных источников33. Служба специальной связи и информации Федеральной Службы Охраны Российской Федерации
http://fso.gov.ru/struct/sssi/
34. Федеральный закон РФ от 27 июля 2006 г. № 149-ФЗ
«Об информации, информатизации и защите информации»
http://www.kremlin.ru/acts/bank/24157
https://docs.cntd.ru/document/901990051?marker=8P00LS
35. Федеральный закон РФ от 27 июля 2006 г. № 152-ФЗ "О персональных данных«
http://www.kremlin.ru/acts/bank/24154
36. Федеральный закон РФ от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"
http://www.kremlin.ru/acts/bank/21227
37. Федеральный закон РФ от 6 апреля 2011 г. № 63-ФЗ "Об электронной подписи«
http://www.kremlin.ru/acts/bank/32938
38. Федеральный закон РФ от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной
инфраструктуры Российской Федерации»
http://www.kremlin.ru/acts/bank/42128
39. ГОСТ Р ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий»
https://docs.cntd.ru/document/1200101777
40. ГОСТ Р ИСО/МЭК 15408-1-2012. Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и
общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1.
Introduction and general model) https://docs.cntd.ru/document/1200101777
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
168
169.
Список использованных источников41. ГОСТ Р ИСО/МЭК 15408-2-2013. Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 2.
Функциональные компоненты безопасности (Information technology. Security techniques. Evaluation
criteria for IT security. Part 2. Security functional components)
https://docs.cntd.ru/document/1200105710
42. ГОСТ Р ИСО/МЭК 15408-3-2013. Информационная технология. Методы и средства обеспечения
безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты
доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security.
Part 3. Security assurance requirements)
https://docs.cntd.ru/document/1200105711
43. ГОСТ Р ИСО/МЭК 18045-2013. Информационная технология. Методы и средства обеспечения
безопасности. Методология оценки безопасности информационных технологий (Information
technology - Security techniques – Methodology for IT security evaluation)
https://docs.cntd.ru/document/1200105309
44. Нормативные правовые акты, организационно-распорядительные документы, нормативные и
методические документы и подготовленные проекты документов по технической защите информации
в Российской Федерации
https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/113-gosudarstvennye-standarty/37745. Federal Information Security Management Act (FISMA)
https://www.govinfo.gov/content/pkg/STATUTE-116/pdf/STATUTE-116-Pg2899.pdf
https://en.wikipedia.org/wiki/Federal_Information_Security_Management_Act_of_2002
https://en.wikipedia.org/wiki/Federal_Information_Security_Modernization_Act_of_2014
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
169
170.
Список использованных источников46. Computer Security Act of 1987
https://en.wikipedia.org/wiki/Computer_Security_Act_of_1987
47. Закон о компьютерной безопасности 1987 года - Computer Security Act of 1987
https://wiki2.wiki/wiki/Computer_Security_Act_of_1987
48. Федеральный закон об управлении информационной безопасностью 2002 г. Federal Information Security Management Act of 2002
https://wiki2.wiki/wiki/Federal_Information_Security_Management_Act_of_2002
49. Отраслевые стандарты – практическая интерпретация
https://www.pwc.com/ua/ru/press-room/2014/assets/industry_standards.pdf
50. Критерии определения безопасности компьютерных систем
https://wiki4.ru/wiki/Критерии_определения_безопасности_компьютерных_систем
51. Центр национальной компьютерной безопасности США
https://www.nsa.gov
52. Центр национальной компьютерной безопасности США
https://ru.wikipedia.org/wiki/Центр_национальной_компьютерной_безопасности_США
53. Computer security resource center (CSRC)
https://csrc.nist.gov
54. NIST SP 800 series
https://csrc.nist.gov/publications/sp800
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
170
171.
Список использованных источников55. NIST Special Publication 800-53 Revision 5 Security and Privacy Controls for Information Systems and
Organizations «Контроли безопасности и приватности для федеральных информационных систем и
организаций» - 492 стр. DOI: https://doi.org/10.6028/NIST.SP.800-53r5
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r5.pdf
56. NIST SP 800: библиотека по информационной безопасности
https://habr.com/ru/post/164371/
57. Федеральные стандарты обработки информации
https://ru.wikipedia.org/wiki/Федеральные_стандарты_обработки_информации
58. Federal Information Processing Standards
https://en.wikipedia.org/wiki/Federal_Information_Processing_Standards
59. Federal Information Processing Standards Publications (FIPS PUBS)
https://www.nist.gov/itl/publications-0/federal-information-processing-standards-fips
60. Критерии оценки безопасности информационных технологий (ГОСТ Р 15408)
https://www.securitylab.ru/blog/personal/aguryanov/29911.php
61. Общие критерии оценки защищённости информационных технологий
https://ru.wikipedia.org/wiki/Общие_критерии
62. Common Criteria
https://en.wikipedia.org/wiki/Common_Criteria
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
171
172.
Список использованных источников63. Common Criteria
https://www.commoncriteriaportal.org
64. Common Criteria Publications
https://www.commoncriteriaportal.org/cc/
65. Common Criteria for Information Technology Security Evaluation. Part 1: Introduction and general model
[April 2017, Version 3.1 Revision 5] CCMB-2017-04-001
https://www.commoncriteriaportal.org/files/ccfiles/CCPART1V3.1R5.pdf
66. Common Criteria for Information Technology Security Evaluation. Part 2: Security functional components
[April 2017, Version 3.1 Revision 5] CCMB-2017-04-002
https://www.commoncriteriaportal.org/files/ccfiles/CCPART2V3.1R5.pdf
67. Common Criteria for Information Technology Security Evaluation. Part 3: Security assurance requirements
[April 2017, Version 3.1 Revision 5] CCMB-2017-04-003
https://www.commoncriteriaportal.org/files/ccfiles/CCPART3V3.1R5.pdf
68. Common Methodology for Information Technology Security Evaluation. Evaluation methodology [April 2017,
Version 3.1 Revision 5] CCMB-2017-04-004
https://www.commoncriteriaportal.org/files/ccfiles/CEMV3.1R5.pdf
69. CC and CEM addenda. Exact Conformance, Selection-Based SFRs, Optional SFRs [May 2017, Version 0.5]
CCDB-2017-05-xxx
https://www.commoncriteriaportal.org/files/ccfiles/CCDB-2017-05-17-CCaddenda-Exact_Conformance.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
172
173.
Список использованных источников70. ГОСТ Р 58142-2018 Информационная технология (ИТ). Методы и средства обеспечения безопасности.
Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК
15408 и ГОСТ Р ИСО/МЭК 18045. Часть 1. Использование доступных источников для идентификации
потенциальных уязвимостей
https://docs.cntd.ru/document/1200159380
71. ГОСТ Р 58143-2018 Информационная технология (ИТ). Методы и средства обеспечения безопасности.
Детализация анализа уязвимостей программного обеспечения в соответствии с ГОСТ Р ИСО/МЭК
15408 и ГОСТ Р ИСО/МЭК 18045. Часть 2. Тестирование проникновения
https://docs.cntd.ru/document/1200095100
72. ISO 15408 Common Criteria for Information Technology Security Evaluation
https://www.tadviser.ru/index.php/Статья:ISO_15408_Common_Criteria_for_Information_Technology_Sec
urity_Evaluation
73. Evaluation Assurance Level (EAL)
https://ru.frwiki.wiki/wiki/Evaluation_Assurance_Level
74. ISO 27000
https://ru.wikipedia.org/wiki/ISO_27000
75. Управление информационной безопасностью (ISO 27000)
https://www.securityvision.ru/blog/iso-27000/?sphrase_id=2657
76. ГОСТ Р ИСО/МЭК 27000-2021 Информационные технологии. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология
http://protect.gost.ru/v.aspx?control=8&baseC=6&page=1&month=6&year=2021&search=&RegNum=1&Do
cOnPageCount=15&id=230305
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
173
174.
Список использованных источников77. СТБ ISO/IEC 27000-2012 Информационные технологии. Методы обеспечения безопасности. Системы
менеджмента информационной безопасности. Основные положения и словарь
https://tnpa.by/#!/DocumentCard/283193/381002
78. ISO 27001/ГОСТ 27001-2013 и система менеджмента информационной безопасности
https://www.realsec.ru/index.php/mn-services/mn-iso-27001
79. Отраслевые стандарты – практическая интерпретация
https://www.pwc.com/ua/ru/press-room/2014/assets/industry_standards.pdf
80. ISO/IEC 27000-series
https://en.wikipedia.org/wiki/ISO/IEC_27000-series
81. ICS >> 35 > 35.030 IT Security including encryption
299 Стандартов ISO в области IT безопасности, включая шифрование
https://www.iso.org/ics/35.030/x/
82. TC > ISO/IEC JTC 1 Standards. Information security, cybersecurity and privacy protection
212 Стандартов ISO в области IT безопасности и защиты частной жизни
https://www.iso.org/committee/45306/x/catalogue/p/1/u/0/w/0/d/0
83. Сычев, Ю. Н. Стандарты информационной безопасности. Защита и обработка конфиденциальных
документов / Ю. Н. Сычев. - Москва : ИНФРА-М, 2021. - 223 с. - (Высшее образование: Специалитет). ISBN 978-5-16-016533-2. - Текст : электронный. - URL: https://znanium.com/catalog/product/1178148
84. Международная информационная безопасность: Теория и практика: В трех томах. Том 2: Сборник
документов (на русском языке) / Под общ. ред. А. В. Крутских. — М.: Издательство «Аспект Пресс»,
2019.— 784 с. https://mgimo.ru/upload/iblock/559/Tom%202.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Правовое регулирование в области информационной безопасности
174